web サイトのセキュリティ対策「 reCAPTCHA Enterprise 」とは?概要、メリット、料金体系、ユースケースまで徹底解説!
- reCAPTCHA Enterprise
- セキュリティ対策
「 reCAPTCHA Enterprise 」というサービスをご存知でしょうか? Google が提供している web サイトのセキュリティ対策ソリューションです。reCAPTCHA Enterprise を活用することで、 web 上に存在する様々な脅威から web サイトを守り、安全な事業継続を実現することができます。
本記事では、reCAPTCHA Enterprise の概要、メリット、料金体系、ユースケースまで一挙にご紹介します。従来の reCAPTCHA との違いも解説していますので、ぜひ最後までご覧ください。
本記事は、Google Cloud Japan 公式 YouTube [Cloud OnAir]ウェブサイトを防御しよう!〜 reCAPTCHA Enterprise の紹介〜[2020年3月19日放送]を参考にしております。
目次
web 上に存在する脅威
インターネットの普及に伴い、現在はあらゆる情報が web 上に存在しています。しかし、同時に様々な脅威も web 上に存在しており、代表的なものとしては「 bot 」による脅威が挙げられます。
bot とは、人が介在せずに自動的に web とやりとりを行うソフトウェアやスクリプトのことです。この bot を利用して、不正に web サイトへアクセスしたり、悪意を持った攻撃を仕掛けるといったケースが見受けられます。
他にも、不正なトランザクションの実行、 web スクレイピング( web サイトから情報を抽出する技術)、パスワードのリスト型攻撃など、 bot による脅威は多岐にわたります。悪意を持った第三者が、このような bot による攻撃を仕掛けてきた場合、企業は多大な損失を被る可能性があります。
そのため、 bot による被害を防ぐために専門のセキュリティチームを構成したり、多額のコストを費やして対策を講じている企業も少なくありません。つまり、企業が安心して事業を継続していく上で、 bot 対策は避けては通れない重要な課題だということです。
なお、一つ注意点としては Google bot のように検索インデックスを作成するための bot や自社のサイト監視を目的とした bot なども存在するため、すべての bot が悪いというわけではありません。その点は間違いのないように理解しておきましょう。
reCAPTCHA とは?
概要
reCAPTCHA とは Google が提供するセキュリティサービスの一つであり、デバイスを操作しているユーザーが bot なのか人間なのかを自動的に判別するためのツールです。
Google 検索で web サイトを閲覧している際、「正しい画像を選択してください」や「私はロボットではありません」のような表示を見たことがあると思います。ざっくり言えば、これらが reCAPTCHA と呼ばれているものです。
メリット
reCAPTCHA を活用することで、前章で挙げたような bot による攻撃を防ぐことができます。インターネットが爆発的に普及した現在、 web サイトへの流入数も増加傾向にあります。そのため、 bot の自動判別で悪意のある攻撃を回避できる点は、reCAPTCHA の大きなメリットになります。
デメリット
reCAPTCHA のデメリットはユーザーのユーザビリティを損なうことです。悪意のない正規ユーザーだとしても reCAPTCHA による認証をクリアしないと web サイトにアクセスできないため、ユーザーがストレスを感じてしまうリスクがあります。
ただし、最近はユーザビリティを損なわないように reCAPTCHA の機能が進化しています。詳しくは次章でご説明します。
reCAPTCHA の種類
reCAPTCHA は時代の流れとともに進化してきました。
本章では、これまでの reCAPTCHA の歴史を振り返ります。
reCAPTCHA v1
reCAPTCHA v1 は一番初期の reCAPTCHA であり、歪んだ文字を表示して正しい文字列をユーザーに入力させるものです。しかし、技術の進歩に伴い bot が正しい文字列を認識・入力できるようになりました。そのため、現在は reCAPTCHA v1 は廃止されています。
reCAPTCHA v2
reCAPTCHA v2 は画像を用いたユーザー判別手法です。以下の画面に馴染みのある方も多いのではないでしょうか。正しい画像を選択した後、「私はロボットではありません」にチェックを入れると認証が完了します。
reCAPTCHA v3
ここまでご紹介した「 reCAPTCHA v1」と「 reCAPTCHA v2」では、サイトへのアクセス時にユーザー側の操作が必要でした。そのため、正規ユーザーがアクセスしたい場合でも認証作業が必要であり、工数がかかるという課題がありました。
そこで登場したのが「 reCAPTCHA v3」です。対象のサイトにスクリプトを仕込むことで、画面遷移のスピードや web 上の行動履歴などを総合的にスコア化して、自動的にユーザー判別を行うものです。これにより、ユーザー側での作業は不要になり、カスタマーエクスペリエンス(顧客が体験する価値)が大きく向上しました。
web サイトのセキュリティソリューション「 reCAPTCHA Enterprise 」とは?
reCAPTCHA Enterprise は reCAPTCHA v3をベースとした web サイト保護ソリューションであり、 Google Cloud の製品として提供されています。
そのため、 reCAPTCHA Enterprise は Google Cloud の利用規約に準拠しているほか、「モバイル対応」や「2要素認証」など、 Google Cloud のサービスならではの特徴を持っています。
Google は reCAPTCHA によって10年以上にわたり様々な web サイトを保護してきました。 reCAPTCHA Enterprise は reCAPTCHA のテクノロジーを企業のセキュリティ課題に特化して再設計したサービスです。
そのため、スクレイピングや認証情報の読み取り、自動アカウント作成などの不正行為から web サイトを守り、自動 bot の悪用による多額の損失を回避できます。
また、 reCAPTCHA Enterprise は reCAPTCHA v3 と同様にユーザー負担をかけない設計になっている点も重要なポイントです。
reCAPTCHA Enterprise と従来の reCAPTCHA との機能比較
reCAPTCHA Enterprise は、従来の reCAPTCHA と比較して様々な違いがあります。
以下、それぞれの機能比較を表にまとめました。
機能 | reCAPTCHA Enterprise | reCAPTCHA v3 | reCAPTCHA v2 |
---|---|---|---|
料金 | 1か月あたり最大100万評価まで無料 ※1 | 1か月あたり最大100万評価まで無料 ※1 | 1か月あたり最大100万評価まで無料 ※1 |
ライセンスの種類 | 消費またはコミット | 該当なし | 該当なし |
サポート | 含まれるもの | 該当なし | 該当なし |
「ロボットではありません」ウィジェットのサポート | ○ | × | ○ |
多要素認証( MFA )のサポート | SMS とメール ※2 | 該当なし | 該当なし |
パスワード漏洩検出 | ○ | 該当なし | 該当なし |
スコア単位 | 11レベル | 4レベル | なし |
理由コード | ○ | 該当なし | 該当なし |
Annotation API を使用した評価に関するフィードバック | ○ | 該当なし | 該当なし |
iOS SDK | ○ | 該当なし | 該当なし |
Android SDK | ○ | 該当なし | サポート終了 |
SLA | 99.9%以上の稼働時間 | 該当なし | 該当なし |
SLO | ○ | 該当なし | 該当なし |
Google Cloud の利用規約 | ○ | 該当なし | 該当なし |
※1:100万ドルの無料テストは組織単位で実施されます。この上限は、すべてのアカウントとすべてのサイトにわたって使用されます。
※2:追加料金が必要です。
このように、 reCAPTCHA Enterprise と reCAPTCHA は多くの点で違いがあります。上の表を見ると、 reCAPTCHA Enterprise の優位性を感じられるのではないでしょうか。
reCAPTCHA Enterprise の5つのメリット
SLA に準拠している
reCAPTCHA Enterprise には SLA が付いており、99.9%の稼働率が保証されています。従来の reCAPTCHA には SLA が付いていないため、安心してサービスを利用できる点は reCAPTCHA Enterprise の大きなメリットだと言えるでしょう。
Google 公式のサポートを受けられる
reCAPTCHA Enterprise は Google Cloud の製品として提供されているため、 Google Cloud の利用規約に準拠しています。そのため、何かトラブルが発生した際は Google Cloud の公式サポートを受けることができます。
細かい粒度のリスクスコアを設定できる
reCAPTCHA Enterprise では、リスクスコア(判別結果の危険度)を細かい粒度で設定できます。「 OK 」と「 NG 」の2択であれば、細かいリスクスコア設定は必要ないですが、実際には bot かどうかの判別が難しいケースもあります。そのような場合に、0から1までの間に細かくリスクスコアを設定することで、そのスコアに応じて追加認証を行うなど、より柔軟かつ精度の高い判別が可能になります。
API ベースで柔軟に利用できる
reCAPTCHA Enterprise は API ベースのサービスを利用して、自社のサイトやモバイルアプリケーションに簡単に組み込めます。そのため、複雑な開発や手間をかけることなく、サービスを使い始めることが可能です。
機械学習で自動的に精度が向上する
reCAPTCHA Enterprise は機械学習の機能を搭載しており、過去の実績や学習用データをもとに自動的に賢くなっていきます。そのため、使えば使うほど精度は向上し、自社の実情に即した有用性の高いサービスとして利用することが可能です。
reCAPTCHA Enterprise の料金体系
reCAPTCHA Enterprise は bot 判別を行うための呼び出しごとに月単位で料金が請求されます。
例えば、以下のアクションが料金の計算に影響します。
- ログイン数
- 購入回数
- フォーム記入の回数
- パスワードのリセット回数
次に各機能の「呼び出し1,000回ごとの料金」を表で示します。
API | 1~1,000,000 回の呼び出し(月間) | 1,000,001~10,000,000 回の呼び出し(月間) | 10,000,001 回以上の呼び出し(月間) |
---|---|---|---|
zassessments.create | 無料 | 呼び出し1,000回あたり1米ドル | Google Cloud セールスチームに問い合わせ |
siteverify | 無料 | 呼び出し1,000回あたり1米ドル | Google Cloud セールスチームに問い合わせ |
これらの料金は各月末日に決まる月間使用量に基づいており、請求書にはそれぞれ1回の呼び出しごとの料金が表示されます。
reCAPTCHA Enterprise のユースケース
ホームページ
最も一般的な利用シーンとして、ホームページが挙げられます。自社サイトで reCAPTCHA Enterprise を活用することで bot による攻撃を遮断できます。また、過去のログを情報として保管しておき、管理コンソール上でトラフィックを可視化することも可能です。これにより、自社サイトへのアクセスを一元的に管理・見える化し、さらなる運用改善に繋げることができます。
ログイン
仮にスコアが低かった場合、2要素認証やメール確認を必須とすることで、ログインにおける安全性を高めることができます。これにより、認証情報の盗み取りをはじめとした、様々な攻撃を回避することが可能になります。
EC
EC サイトには多くのアクセスが集中するため、 bot 対策は必要不可欠と言えるでしょう。あらかじめ、実際の販売フローを実行して reCAPTCHA Enterprise に学習させることで、危険性のあるトランザクション(処理)を特定し、防ぐことができます。
reCAPTCHA Enterprise の始め方
reCAPTCHA Enterprise の始め方を4ステップでまとめました。細かい部分は割愛していますので、全体感を理解するためのイメージとして捉えてください。
STEP1.サービスの申し込み
はじめに、 reCAPTCHA Enterprise に申し込みをする必要があります。 Google 公式ドキュメントから申し込みを行い、ホワイトリストが完了すればサービスを利用可能になります。
STEP2.API キーの作成
サービスが利用可能な状態になったら、次は API を有効にして、 API キーを作成してください。 API キーとは、呼び出し元のサイトを識別するためのものです。
STEP3.サイトキーの作成
API キーの作成後は、コマンドを利用してサイトキーと秘密鍵のペアを作成します。秘密鍵とは、暗号化や復号(元に戻すこと)するときに使うデータのことです。
STEP4.web サイトへの組み込み
STEP3 まで完了したら、あとは web サイトへ組み込むだけで reCAPTCHA Enterprise が利用可能になります。
以上が reCAPTCHA Enterprise を始める際の全体の流れになります。そこまで難しいものではなく、比較的気軽に始められるようになっています。
まとめ
本記事では、 Google が提供する web サイトのセキュリティソリューション「 reCAPTCHA Enterprise 」の概要、メリット、料金体系、ユースケース、従来の reCAPTCHA との違いまで一挙にご紹介しました。
インターネットが爆発的に普及した現代において、 web サイトのセキュリティは避けては通れない経営課題です。仮に bot による攻撃を受けてしまった場合、情報漏洩などのセキュリティ事故に繋がるリスクもあるため、事前に対策を講じる必要があります。
reCAPTCHA Enterprise は企業のセキュリティ課題に特化して設計されたサービスであるため、 SLA による稼働率保証やトラブル時のサポートなど、企業にとって心強い特徴を多数備えています。また、機械学習を搭載しており、使えば使うほど自動的に性能が高まる点も魅力の一つです。
本記事を参考にして、ぜひ reCAPTCHA Enterprise の活用を検討してみてはいかがでしょうか。
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!