Cloudflareは、「CAPTCHA」に代わる無料の認証API「Cloudflare Turnstile」のオープンβ版を発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
CDN(Content Delivery Network)やインターネットセキュリティサービスなどを手掛けるCloudflareは2022年9月28日(米国時間)、「CAPTCHA」に代わる無料の認証API「Cloudflare Turnstile」のオープンβ版を発表した。
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は主にWebサービス上で、自動化されたプログラム(bot)によるサービスの不正利用を防ぐための仕組みを指す。数種類の方式があるが、読みにくい文字列(ゆがんでいたり、ノイズが混じっていたりする)が含まれた画像を表示し、ユーザーがその文字列を正しく入力できたかどうかで、人間か否かを判定するものが有名だ。
だが、こうしたCAPTCHAはユーザーにとって煩雑で面倒であり、データプライバシーに関する懸念も指摘されている。
Turnstileは、CAPTCHAを使用することなく、サイト訪問者が人間であることを確認する。Cloudflareの顧客でなくても、トラフィック送信にCloudflareのグローバルネットワークを使用しなくても、WebサイトのCAPTCHAを置き換えたいと考えるサイト運営者は誰でも、シンプルなAPIを呼び出すことでTurnstileを利用できると、Cloudflareは述べている。
Cloudflareによると、同社の顧客はCloudflareダッシュボードからTurnstileにアクセスできる。Cloudflareの顧客以外のサイト運営者は以下の手順で、CAPTCHAからTurnstileに簡単に切り替えることができる。
Cloudflareは2022年4月に、「Managed Challenge」システムを利用して、同社におけるCAPTCHAの使用を91%削減したことを報告した。Turnstileは、Managed Challengeを支える技術をスタンドアロン製品として提供するものだ。テレメトリーとセッション中のクライアントの行動に基づいて、訪問者による操作が不要な形でブラウザの挙動をチェックする一連のテストを、自動的に選択して実行することを繰り返す。これにより、訪問者が人間か否かを判断する。テストの難易度は、特定の要求に合わせた微調整も可能だ。
CloudflareはAppleとの提携により、macOSやiOSの次期バージョンなど、「プライベートアクセストークン」をサポートするOSを使用する訪問者が、CAPTCHAを完了したり、個人データを提供したりすることなく、自分が人間であることを証明できるようにした。
プライベートアクセストークンはTurnstileに直接組み込まれている。Turnstileは、ユーザーの操作を伴うテストを排除してユーザーを検証するために、幾つかのセッションデータ(ヘッダ、ユーザーエージェント、ブラウザの特性など)を確認する必要があるが、プライベートアクセストークンを使用すると、デバイスの検証をAppleに任せることで、データ収集を最小限に抑えることができる。
Turnstileは、Cookie(ログインCookieなど)を探したり、Cookieを使用してあらゆる種類の情報を収集または保存したりすることはないという。
Copyright © ITmedia, Inc. All Rights Reserved.