reCAPTCHA Enterprise の仕組みとは? Web からアプリケーションまで一貫した bot 対策を実現!

reCAPTCHA Enterprise の仕組みとは? Web からアプリケーションまで一貫した bot 対策を実現!

本記事は、2022年4月19日に開催された Google の公式イベント「 Google Cloud Day : Digital ’22」において、 Google Asia Pacific セキュリティサービス担当の齋藤桃子氏と Google Cloud カスタマーエンジニアの桃井啓行氏が講演された「 Web からアプリまで一貫した不正アクセス対策〜 reCAPTCHA Enterprise 導入のポイント、最新機能のご紹介〜」のレポート記事となります。

今回は、 Web からアプリケーションまで、一貫した不正アクセス対策を実現するためのサービスである reCAPTCHA Enterprise について、特徴や導入時のポイント、2022年の最新機能まで、あらゆる観点から一挙にご紹介します。

なお、本記事内で使用している画像に関しては、 Google Cloud Day : Digital ’22の「 Web からアプリまで一貫した不正アクセス対策〜 reCAPTCHA Enterprise 導入のポイント、最新機能のご紹介〜」を出典元として参照しております。

それでは、早速内容を見ていきましょう。

reCAPTCHA とは?

reCAPTCHA の概要

reCAPTCHA とは、 bot を検出できるサービスです。 bot とは、人が介在せずに自動的に Web とやりとりを行うソフトウェアやスクリプトのことです。この bot を利用して、不正に Web サイトへアクセスしたり、悪意を持った攻撃を仕掛けるといったケースが見受けられます。

reCAPTCHA を活用することで、不正トランザクションやアカウント乗っ取りなどの被害から、自社を守ることができます。

1

reCAPTCHA のバージョンアップ

今回の記事でご紹介する reCAPTCHA Enterprise は2020年にリリースされたサービスですが、実は reCAPTCHA 自体は2007年時点で既に登場していました。その後、 reCAPTCHA は何度かバージョンアップを重ねています。

2

以下、 reCAPTCHA のバージョンごとの違いを表にまとめます。バージョンアップの度に機能が改良されていることをご理解いただけると思います。

3

そして、数回のバージョンアップを経て、2020年に reCAPTCHA Enterprise が登場しました。reCAPTCHA Enterprise については、次章以降で詳しく解説します。

reCAPTCHA のバージョンごとの違いについては、以下の記事が参考になります。

Web サイトのセキュリティ対策「 reCAPTCHA Enterprise 」とは?概要、メリット、料金体系、ユースケースまで徹底解説!

reCAPTCHA Enterprise の特徴

ここからは、 reCAPTCHA Enterprise について詳しく見ていきましょう。

reCAPTCHA Enterprise には多くの特徴が存在し、

などが挙げられます。それぞれについて、詳しくご説明します。

粒度の細かいリスクスコア

reCAPTCHA Enterprise では、リスクスコア(判別結果の危険度)を細かい粒度で設定できます。「 OK 」と「 NG 」の2択であれば、細かいリスクスコア設定は必要ないですが、実際には bot かどうかの判別が難しいケースもあります。そのような場合に、0から1までの間に細かくリスクスコアを設定することで、そのスコアに応じて追加認証を行うなど、より柔軟かつ精度の高い判別が可能になります。

4

Reason コードとその定義

reCAPTCHA Enterprise は、スコアに加えて Reason コードも返します。これは、スコアに関するより多くのコンテキストを提供できる追加のデータです。この Reason コードとスコアを確認することで、管理者は適切なアクションを実行可能になります。

5

機械学習モデルのカスタマイズ

reCAPTCHA Enterprise では、機械学習モデルをカスタマイズすることができます。過去の実績や学習用データをもとに自動的に賢くなるため、 reCAPTCHA Enterprise の精度は使えば使うほど向上し、自社の実情に即した有用性の高いサービスとして進化し続けます。

6

モバイル SDK

reCAPTCHA Enterprise には、 Android と iOS のアプリケーションを保護するためのネイティブ SDK が搭載されているため、 Web サイトだけではなく、モバイルアプリケーションの領域についても、同様にカバーすることができます。

7

パスワード漏洩確認

reCAPTCHA Enterprise には、パスワード漏洩確認の機能が備わっており、パスワードが漏洩していないかどうかをチェックできます。これにより、さらに安全な環境で Web サイトやアプリケーションを運用することが可能です。

8

二要素認証

reCAPTCHA Enterprise では、二要素認証を行うことも可能です。例えば、ユーザーがログインを試みた場合、 reCAPTCHA がコードを自動生成して、メールや SMS でユーザーに認証リクエストを送信します。これにより、安全性を担保した状態でのユーザーログインを実現できます。

9

reCAPTCHA Enterprise の2022最新機能

2022年4月現在の reCAPTCHA Enterprise の最新機能は以下の通りです。 bot アクセスの標的になりやすい「決済」と「アカウント」の領域に特化したものとなっています。

10

例えば、決済領域では、 Google の決済関連の学習データをベースとして、ユーザーからのチャージバックデータを付加したモデルの調整ができます。また、アカウント領域では、 Web サイトだけではなく、アカウントから示される通常の行動パターンに合致しているかどうかを分析可能です。

reCAPTCHA Enterprise の仕組み

以下、 reCAPTCHA Enterprise の仕組みを図で示します。

12

ここからは、ステップごとに分けて reCAPTCHA Enterprise の仕組みをご説明します。

reCAPTCHA のインストール

まずは、クライアントが Web サーバーに組み込まれた JavaScript のコードを実行して、 reCAPTCHA Enterprise クライアントエンドポイントから、トークンを受け取るステップを見ていきましょう。

実際のスクリプト例を以下に示します。

13

Google Cloud (GCP)の管理コンソールでサービスを有効にすると、ユニークなサイトキーが発行されます。その後、ファイルのヘッダーに reCAPTCHA Enterprise のスクリプトを読み込むスニペットを挿入します。そして、保護したいページで上図右側のような JavaScript スニペットとキーを挿入します。

これらのサンプルコードを参照して、クライアントに渡されるトークンをバックエンド側に送信します。そして、次のステップで、バックエンドがスコアを取得するためのアセスメントを作成します。 reCAPTCHA のインストールは以上で完了です。

Google Cloud (GCP)の管理コンソールに関心のある方は以下の記事がオススメです。

Google Cloud(GCP)の管理画面がスゴい?管理コンソールでできることを徹底解説!

reCAPTCHA のアセスメント

次に、お客様の Web サーバーが reCAPTCHA Enterprise のスコアを取得する流れを見ていきましょう。

お客様の保護対象の Web サーバーは、ユーザーからトークンを受け取り、 reCAPTCHA Enterprise のサーバーエンドポイントに送信します。その後、エンドポイントが reCAPTCHA コアからスコアを取得し、お客様のシステムにスコアが含まれる一連の Json データを送信します。

実際のスクリプト例を以下に示します。これは Node.js のサンプルコードになっています。

14

上図は reCAPTCHA Enterprise のライブラリをインポートして、アセスメントを実行するファンクションのサンプルです。 Google Cloud (GCP)の projectID やサイトキー、クライアントから送られてきたトークンなどをパラメータに取り、非同期で reCAPTCHA Enterprise のサーバーエンドポイントからスコアデータを取得しています。

このコードを使うことで、ライブラリのインポートからアセスメントの作成、レスポンスの取得まで、一連のプロセスを実行できます。

その続きが以下のコードになります。

15

上図のコードでは、レスポンスが正しいデータであるか否かを確認し、最後に指定したアクションのレスポンスであるか?をチェックした上で、スコアと Reason コードを返しています。そして、仮に正しいレスポンスでなかった場合は、コンソールにメッセージを表示します。

reCAPTCHA アセスメントによる意思決定

最後に、 reCAPTCHA アセスメントの結果を基にして、意思決定やアクションを行うプロセスについて見ていきましょう。

実際のスクリプト例を以下に示します。これは、単純化した reCAPTCHA Enterprise レスポンスの例になります。

16

上図の例では、画面中段あたりの riskAnalysis の部分が「 reasons : AUTOMATION 」となっていますが、これは reCAPTCHA Enterprise が「自動化されているリクエストである( bot である)」と判断していることを意味しています。

ただし、 reCAPTCHA Enterprise から返ってきた結果を基にして、ユーザーにどのようなアクションを取らせるのか?は会社ごとに異なるため、自社に最適な運用をあらかじめ検討しておくことが大切なポイントだと言えます。

参考までに、一般的な対処フローを図で示します。 reCAPTCHA Enterprise による評価が完了した後、そのスコアによってアクションを分類しています。

17

また、 Google Cloud (GCP)の管理コンソールに搭載されているメトリックダッシュボードでは、 reCAPTCHA が処理したリクエスト数を直感的にわかりやすく見える化できます。

18

この他にも、スコア分布や統計情報などをダッシュボードに表示することも可能です。これにより、 reCAPTCHA Enterprise が返した結果をより正しく把握できるようになり、迅速な意思決定やアクションに繋がります。

reCAPTCHA Enterprise の事例

米国で EC サイトを展開している Etsy はハンドメイド品などのマーケットプレイスを提供しています。

活気のあるグローバルコミュニティが継続的に成長していくためには、プラットフォームの安全性を担保する必要がありますが、新型コロナウイルスの感染拡大の影響により、トラフィック量が急激に増加し、それに伴う bot の急増が大きな課題となっていました。

その中で、主な脅威は「クレデンシャルスタッフィング攻撃」でした。クレデンシャルスタッフィング攻撃とは、攻撃者が不正に取得した ID とパスワードを使って、 Web サイト上に自動的にログインを試みる攻撃のことです。

そこで、 Etsy では不正 bot 対策として reCAPTCHA Enterprise を導入し、これによりユーザー体験を維持しながら Web ページを守ることに成功しました。

reCAPTCHA Enterprise を活用することで、どのようなアクションが取られたのか?を検出し、特定のユーザーのやり取りを分類する情報を含んだ評価を取得できます。そして、このデータを社内の自動コントロールと組み合わせることで、ほぼリアルタイムな情報に基づいた意思決定を実現しています。

また、リスクスコアを使用する一方で、 Reason コードやユーザーが他のサイトで侵害されたパスワードを再使用しているか?といった点についても、セキュリティチェック機能を活用することで見える化し、 Web サイトの安全性をさらに高めています。

加えて、 reCAPTCHA Enterprise は、各企業が独自に特定できない様々な攻撃パターンを認識することができます。さらに、チェックボックスなどのユーザーインタラクションを必要としないため、ユーザー体験を維持しながら、すべての情報を安全に活用することが可能です。

この点は同社のセキュリティチームにとって大きな意味を持っていました。なぜなら、大きな工数をかけることなく reCAPTCHA Enterprise をどのページにも追加できるためです。

そして、 Web サイト部分を把握することでリスクを可視化したり、状況に応じて機械学習モデルを活用したカスタマイズを行なったりしました。このように、 reCAPTCHA Enterprise のベース機能をフル活用しつつ、自社の状況に合わせてカスタマイズを行うことで、より効果的な bot 対策を実現した好事例だと言えるでしょう。

19

reCAPTCHA Enterprise に関する Q&A

Q.現在 reCAPTCHA のバージョン2を使っていますが、 Enterprise へ変更するにはどうすれば良いですか?

A.まずは reCAPTCHA Enterprise を使用できる環境にする必要があるため、 Google 公式サイトから Web フォームを送信してください。フォーム送信後、5営業日以内に Google の担当者から連絡が入りますので、手続き完了後に reCAPTCHA Enterprise が使えるようになります。

Q.現在、 reCAPTCHA のバージョン3とバージョン2を併用しており、バージョン3のスコアが NG だった場合はバージョン2のチェックボックスで人間であるか否かを確認しています。 reCAPTCHA Enterprise でも同様のことが可能ですか?(バージョン3だけでも可能?)

A.バージョン3だけでチェックボックスによる確認を行うことはできません。また、 reCAPTCHA Enterprise では Reason コードやその定義など、詳細なスコアを取得できるため、複数バージョンを併用することなく、精度の高い bot 判別を実行できます。

Q.reCAPTCHA Enterprise はカスタマイズで効果を高めるのが大変だと聞いたことがあります。また、攻撃者に迂回されることもあるようですが、そのような攻撃に対してはどのように保護を強化するのがオススメですか?

A.カスタマイズがアノテーションを指していると仮定した場合、アノテーションは会社ごとに保有している情報を繰り返し機械学習を行う必要があるため、それなりの時間が必要になります。ただし、これにより reCAPTCHA Enterprise の安全性は高まるので、自社の目的やリソースと相談しながら進めていただくのが良いと思います。

また、後者の「攻撃に対する保護」の部分ですが、世の中のサイバー攻撃は多岐にわたり、多種多様な攻撃手法が存在します。そして、 reCAPTCHA Enterprise はその攻撃それぞれに対して効果的な対策を持っているので、ご興味があれば Google の営業担当までお気軽にご相談ください。

まとめ

本記事では、 Web からアプリケーションまで、一貫した不正アクセス対策を実現するためのサービスである reCAPTCHA Enterprise について、特徴や仕組み、2022年の最新機能、導入事例まで、あらゆる観点から一挙にご紹介します。

インターネットが爆発的に普及した現代において、 Web サイトやアプリケーションのセキュリティは避けては通れない経営課題です。仮に bot による攻撃を受けてしまった場合、情報漏洩などのセキュリティ事故に繋がるリスクもあるため、事前に対策を講じる必要があります。

reCAPTCHA Enterprise は企業のセキュリティ課題に特化して設計されたサービスであるため、 企業にとって心強い特徴を多数備えています。また、機械学習を搭載しており、使えば使うほど自動的に性能が高まる点も魅力の一つです。

本記事を参考にして、ぜひ reCAPTCHA Enterprise の活用を検討してみてはいかがでしょうか。

弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。

Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!

Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。

お問い合わせする

メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!

メルマガ登録はこちら

関連記事

Contactお問い合わせ

Google Cloud / Google Workspace導入に関するお問い合わせ

03-6387-9250 10:00〜19:00(土日祝は除く)
Top