使える! 情シス三段用語辞典78「reCAPTCHA」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け 「reCAPTCHA」の意味
「reCAPTCHA(リキャプチャ)」は、Webフォームなどに対するボット(bot)などによる悪質なアクセスからWebサイトを守る認証技術のことです。例えば、Webサイト上「私はロボットではありません」とのチェックボックスにチェックを入れること、あるいは、書かれた文字を読み取り、それを入力することなどは、よく目にするのではないでしょうか。これにより、ボットによる攻撃を予防しています。
reCAPTCHAは、ボットの攻撃に悩まされているサイト運用者へのツールとしての「CAPTCHA」機能と、その判定データを有効活用するという意味を込めて、「reCAPTCHA」という名前が採用されました。そのことからも分かるようにセキュリティ技術であると同時に、紙の本のデジタル化に貢献する技術でもありました。
当初のreCAPTCHAは、OCRソフトウェアが読み取れなかった文字を画像として出力し、reCAPTCHAのデータを受信する各購読サイトへ向けてそれらを割り振ります。購読サイトでは、これらの文字を含む画像を人に差し出し、認証手順の一部としてCAPTCHAの文字列を解読させます。その後、reCAPTCHAサービスは解答されたデータを書籍デジタル化プロジェクトへ送信するというものでした。
reCAPTCHAの技術は、2007年にカーネギーメロン大学で開発されたものですが、その2年後Googleがこの技術を買い取りました。その後、reCAPTCHAは改良を重ね、2018年12月現在、v3まで公開されています。
reCAPTCHAは、認証技術の一つとして、ボットなどの自動入力による被害を防ぐ目的で使用されます。例えば、Webサイトでアカウントを登録(または開設)するような場面においては、不正なアカウントが短い時間に大量に作成されてしまい、またフォームへのスパムメールに利用されるなど被害の原因となります。一種の「ロボット」であるボットのこうした攻撃からreCAPTCHAはWebサイトを守っています。
ところが、reCAPTCHAを利用すればするほど、判別結果の蓄積も進んでいきます。そうなると今度はreCAPTCHAを突破できるボットの製作を行うことも可能になってしまいます。その為には入力する文字を複雑化する必要がありますが、v1はボットではないと判断するための文字認証が複雑化し、人間でも読み取ることが難しくなったため、提供は終了しています。
<画像出典:ウィキペディア>
その後、reCAPTCHAはv2の時代になり、おなじみの「私はロボットではありません」のチェックボックスを選択するという形になりました。
<画像出典:Google reCAPCHA>
しかしながら、この一手間が不評だったのか、チェックボックス操作が不要なInvisible reCAPCHAも登場しました。
2018年10月にはreCAPTCHAの新バージョン、reCAPTCHA v3がGoogleから正式公開されました。reCAPTCHA v3の最大の特徴は、画像認証が完全になくなったことです。AIを活用し、ユーザーのページ内での行動をスコアとして算出し、ボットかそうでないかを判別します。さらに、reCAPTCHA v3を配置したページでのユーザーの動きも学習し、利用が増えるとともに行動スコアの精度が高まっていくのもv3の特徴です。
v3には、精度・プライバシーに対するよりきめ細かい配慮など、技術面・運用面から今後の展開に注目が集まります。
二段目 ITが苦手な経営者向け
とある会社では、情シスの佐藤さんに社長が質問をしています。
社長:佐藤君、Webのイベント申し込みページ、お客さんに文句言われちゃったよ。「申し込みをするのに、どうして信号が写ってる部分にチェックをつけなきゃいけないの?」って。 個人情報に関する注意書きも長くなったし、WebサイトのUIとしてイマイチじゃないか?
佐藤さん:セキュリティ担当に聞きましょうか。
社長:セキュリティ担当はあれで何をしようとしてるんだ。ややこしいうえに、大して意味がないならやめてほしいね。今度のイベントはタレントも参加するんだしさ。
佐藤さん:ややこしいですか。でも、あれがないときっと困りますよね。
社長:えっ、それは何でなのかな?
佐藤さん:社長、イベント100席がすべてロボットの申し込みで埋まってしまい、会場には実際にだれも来なかったらどうしますか。「イベント空振り、Webサイトの不備が原因」とかどこかの記事に書かれるかもしれませんね。あの画像のチェックで、人間が応募した、ってわかるようになっているのです。
社長:そんなのは万が一のことじゃないのか。聞いたことないよ。
佐藤:この前のわが社のプレゼント企画も、全部ロボットの応募だったら困りますよね。実際は一人の首謀者がプレゼント独り占め、とか。「創業記念プレゼント企画に不正発覚、原因はWebサイト」って書かれますね。
社長:そんな…。
佐藤:ロボットはあっという間に席を満席にして、あっという間にプレゼントにも応募しちゃいます。人間なんてメじゃありません。
社長:目的はわかったよ。でも、信号にチェックとかさ、ややこしいのはやめて欲しいんだよね。Webページはわが社の顔なんだからさ。
佐藤:じゃあ、「私はロボットじゃありません」っていうチェックボックスにチェック不要の方法ならすっきりしますかね。最新版を入れると、お客様は何もしなくても判別してくれるということですから。
社長:そうか、変えられないか、話してもらえないか?
佐藤:わかりました。予算はあったかな。
社長:わかったよ、申請上げといて。
佐藤:ありがとうございます!
三段目 小学生向け
みなさん、ロボットは知っていますよね。ロボットにも最近はいろいろなものがあって、Pepperみたいに人のような形をしたロボットや工場で使われているロボットアーム、最近では、大人の事務のお仕事でRPAと呼ばれる“形のないロボット”も使われています。ロボットは形があってもなくても、プログラミングによって動くこともきっと知っていますよね。ロボットは人の役に立つようにプログラミングされれば大変役に立ちます。でも、悪いことをしなさい、とプログラミングをするとその通り動いてしまう欠点もあります。Webサイトを攻撃しなさい、という指令をプログラミングでしたとします。すると、攻撃するロボットは悪い入力をして、サイトを壊してしまうこともできるのです。
reCAPTCHAは、人であるかどうかを確かめることにより、Webサイトを守ることができます。確かめる方法は、人間でないとわからない文字を入力させるとか、画像を見て車があるかどうかをチェックするなど、Webサイト上で人間が目で見て手を動かすことを必要としてきました。今では、Webサイトを使ったパソコンの記録から確かめることもできるようになっています。
さて、皆様のご理解は深まったでしょうか?
【執筆:高橋TOSHIE】