Webサイトのフォームやログイン画面において、スパムやBot対策は欠かせない要素です。
しかし、従来の「画像を選択させる認証(CAPTCHA)」は、ユーザーに手間を強いるため、離脱を招く要因にもなっていました。
本記事では、Google reCAPTCHAに代わる、ユーザーに負担をかけない最新の選択肢「Cloudflare Turnstile」のメリットと、無料で利用できる範囲・制限について解説します。
Cloudflare Turnstileとは?
Turnstileは、ユーザーにパズルを解かせることなく、バックグラウンドで「人間かBotか」を判断するセキュリティサービスです。
- スムーズなユーザー体験: 多くのユーザーは操作を意識することなく検証を通過できます。
- プライバシーへの配慮: ユーザー行動の追跡を最小限に抑えた設計で、サイトの信頼性を高めます。
- 簡単な切り替え: reCAPTCHAと互換性のある設計のため、既存フォームからの移行も容易です。
導入費用とFreeプランの仕様
Turnstileは、小規模なブログから大規模な企業サイトまで、基本機能を無料で利用できます。
Freeプランにおける主な制限と特徴は以下の通りです。
| 利用料金 | 0円(リクエスト数による課金なし) |
| ウィジェット数 | 1アカウントにつき 最大20個 まで作成可能 |
| 登録可能ドメイン | 1つのウィジェットにつき 最大10〜15ホスト名 まで |
| リクエスト数 | 無制限(急なアクセス増でも追加費用は発生しません) |
| 分析データ | 過去 7日間 の統計レポートを確認可能 |
- 単体利用が可能: CloudflareのCDNやWAFを契約していなくても、Turnstile単体で(外部サイトからでも)利用可能です。
Enterpriseプランはカスタム価格です。
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/
導入・設定の手順
ステップ1:サイトの登録
1. Cloudflareダッシュボードの左メニューから「Turnstile」を選択します。
※メニューに「Turnstile」が表示されない場合:
Turnstileを初めて利用される方は、まずこちらの公式製品ページよりサインアップ(利用開始手続き)を行ってください。
2.「Add Site」をクリックし、サイト名と利用するドメインを入力します。
3.Widget Modeを選択します(通常は「Managed」が推奨されます)。
4.発行された Site Key(フロントエンド用)と Secret Key(サーバーサイド検証用)を控えます。
ステップ2:実装と検証の設定
実際の組み込みについては、以下の公式ドキュメントを参考に設定を行ってください。
クライアントサイド(フロントエンド)の実装:
ブラウザにウィジェットを表示し、ユーザーのレンダリングを制御する方法についてはこちら(Client-side rendering)をご参照ください。
サーバーサイド(バックエンド)の検証:
フロントエンドから送られたトークンをサーバー側で検証し、リクエストの正当性を確認する手順についてはこちら(Server-side validation)をご参照ください。
CAPTCHAの導入イメージ画像はこちらです。
レポート機能の活用
無料版でも、過去7日間の運用データをダッシュボードで確認できます。
Solve Rate(解決率):
正常なユーザーがどれだけスムーズに検証をパスしたか。
トラフィック分析:
ボット攻撃の傾向や、検証が表示された回数を可視化します。
短期間のデータではありますが、スパム対策の効果を実感するには十分な情報が得られます。
Web表示スピード改善・セキュリティ対策のCloudflare
導入のご相談だけでなく、運用フェーズでのサポートも承ります。
DDoS攻撃や悪質なBot(ボット)からのアクセスを防ぎたい方、WAF機能やプランの詳細を知りたい方、
国内エンジニアによる安心の運用サポートをご希望の方も、ぜひお気軽にお問い合わせください。