reCAPTCHAの従来版とEnterprise版の違いと特徴について徹底解説

ブログ運用やWebサイト運用するうえでスパム対策は必須です。

スパム対策に使われるツールで、おそらく最も有名なものがGoogle reCAPTCHAでしょう。

そんなreCAPTCHAには、3種類のグレード（ティア）があり、設定方法も性能も異なることをご存じでしょうか？

設定ページがreCAPTCHAのページか、クラウドのページかで変わってきます。

Enterprise版ですと設定がややこしく、うまく設定できない場合が出てきます。

個人サイトを運用するのにEnterprise版を登録してしまっても安心してください。

従来版の方の設定をして、設定を上書きしたら大丈夫です。

それぞれの設定の詳細を見ていきましょう！

＼データ解析、分析はアナリティクス！／

Essentialsの特徴

従来のreCAPTCHAのものであり、Google Cloud (GCP)と連携していない状態で使用できます。月間１万リクエストまで無料で対応しており、それ以降は機能が停止します。

Google Cloud と連携し課金設定を行うと、自動的に Standard（従来版の上位）へ移行します。

最も簡易的ですが、多くの個人サイトはこちらで十分な機能を持っています。私もこちらを導入しています。

主な用途

スパム・ボットの単純なブロック。

適用規格

小〜中規模のサイト。月間1万リクエストまで無料です。

判定内容（スコア判定）

結果として 0.0〜1.0 のスコアが返ります（0に近いほどボット、1に近いほど人間）。理由コードは表示されません。

スコアとは：0.0に近いほどボット、1.0に近いほど人間であるという判断です。

防御機能

スパム・ボットのブロックを主機能として、他の機能は付きません。

利用上の上限とコスト

1万リクエストまで無料。それ以降はコンテンツの停止。

導入難度

導入が比較的カンタンで、プラグインもしくはHTML/JSのみで完結します。

多くの個人サイト、小規模サイトはこちらの設定を行えば十分かと思います。

Standardの特徴

Standard版は従来版の上位グレードで、Essentialsよりも少し拡張された機能を持ちます。

かつては100万リクエストまで対応しておりましたが、無料枠が1万リクエストまで減少しており、それ以上となるとEnterpriseへの移行が推奨されます。

主な用途

スパム・ボットの単純なブロックです。

適用規格

小〜中規模サイトの運用が想定されています。

判定内容(スコア判別)

評価の結果を返すのはスコア(0.0~1.0)の◯か×かのみです。なぜそのスコアになったのかの理由は帰ってきません。

スコアとは：0.0に近いほどボット、1.0に近いほど人間であるという判断です。

防御機能

通常のボット対策機能は提供され、更に「追加の認証」を行うことで以下のセキュリティを追加されます。

• アカウント保護
• 支払いに関する不正行為の防止
• SMS防御

こちらに関して、具体的な設定方法が見つかりませんでしたが、おそらく課金することで有効化されると思われます。

利用上の上限とコスト

Googleが2024年4月に価格モデルを改定した結果、無料枠が月間 10,000 リクエストに縮小されました（以前は月間100万回でした）。Essentialsでも月間1万アセスメントまでは無料枠があります。この上限を超えると機能が停止するか、Enterprise版への移行が求められます。

導入難易度

導入が比較的カンタンで、プラグインもしくはHTML/JSのみで完結します。

従来のreCAPTCHAはすぐになくなるわけではなく、個人のブログやアクセスが少ない小規模なサイトでは引き続き無料で利用可能のようです。

reCAPTCHA Enterpriseの特徴

Enterprise版は有料で大規模サイトに向けた設計になっています。その分セキュリティも高度になっています。

主な用途

高度なセキュリティ・詐欺・乗っ取り対策などを主な用途としています。

従来の単純なボットを防ぐという目的に加え、どのようなリスクが有るのかを分析し、アカウント乗っ取りなどを防ぐことを目指しています。

適用規模

商用大規模・中〜大規模のWebサイトやアプリでの利用を推奨されています。

判定内容

スコア(0.0~1.0)に加え、なぜそのスコアになったかを示す理由が示されます。そのため、不審なブラウザ環境や自動化ツールの挙動など、リスク事象の原因が明らかになります。

防御機能

通常のボット対策に加え、以下の防御機能が追加されています。

• アカウント乗っ取り防止
• パスワード漏洩検知
• 支払い詐欺防止
• SMS不正利用（SMS toll fraud protection）の検出と防止

利用コスト

月間1万リクエストまでは無料ですが、それ以降はリクエスト数に応じた従量課金制です。

導入難度

 従来版に比べて Google Cloud との連携が前提となり、バックエンドとの連携が必要であったりと少々複雑になっています。

まとめ：reCAPTCHAの違い

reCAPTCHAと一言に言っても、3種類の設定に別れています。

イメージとしてはEssentials版とStandard版はサイトを守る番人のようであり、Enterprise版はサイトの中の諜報機関といった感じでしょうか。

小規模なサイトではreCAPTCHAで問題ないですが、大きいサイトを扱う場合にはEnterprise版の導入を検討する必要がありますね。

各ティア（従来版・Enterprise版）の違いと特徴まとめ

特徴	reCAPTCHA (Essentials)	reCAPTCHA (Standard)	reCAPTCHA Enterprise
主な用途	スパム・ボットの単純なブロック	スパム・ボットの単純なブロック	高度なセキュリティ、詐欺・乗っ取り対策
想定規模	小規模サイト	小～中規模サイト	商用大規模／ミッションクリティカル
判定内容	スコア (0.0〜1.0) または ○×	スコア (0.0〜1.0) または ○×	スコア ＋ 理由コード（Reason Codes） ＋ リスク分析
理由コード	なし	はい	あり（なぜそのスコアになったかを示す）
ボットスコアの粒度	4 つのレベル	11 レベル	11 レベル
特化した防御機能	なし	アカウント保護、パスワード防御、支払いに関する不正行為の防止、SMS防御（※追加の評価が必要）	アカウント乗っ取り防止 (ATO)、パスワード漏洩検知、支払い詐欺防止、SMS防御
無料枠 (月間)	月間 10,000 リクエスト	月間 10,000 リクエスト	月間 10,000 リクエスト
無料枠超過後のコスト	N/A (機能が停止するか、Enterpriseへの移行が必要)	$8/月 (月間 100,000 件まで)	$8/月 (月間 100,000 件まで)、その後 1,000 件ごとに $1
SLA (稼働保証)	なし	なし	あり (99.9% 以上の稼働率)
サポート体制	コミュニティ サポート	コミュニティ サポート、ベーシック サポート‡	Google Cloud サポート利用可
導入難易度	簡単 (HTML/JSのみで完結可)	簡単 (HTML/JSのみで完結可)	やや複雑 (Google Cloud連携が必要)
モバイル SDK	なし	iOS SDK、Android SDK あり	iOS SDK、Android SDK あり
WAF連携	なし	なし	Google Cloud Armorなどとの統合機能あり
契約期間	利用できません（該当なし）	月単位	月単位、年単位、カスタム

どのティアを使用しているかが分かりづらい仕様のため、Google Cloud (GCP)での設定状態を見るしかない状況です。

Enterprise版はhttps://console.cloud.google.com/security/recaptcha

に登録してあるものとみて、

小規模サイト（従来版利用の可能性が高い）はhttps://www.google.com/recaptcha/admin/

こちらから参照してください。

最後までご覧いただきありがとうございました！