Cloudflare Turnstile(クラウドフレア ターンスタイル)の設定

Cloudflare Turnstile(クラウドフレア ターンスタイル)は、Google reCAPTCHAの有料化や、無料プランにおける月の評価回数(以前の100万回から現在は1万回)が大幅に引き下げられたことに伴い、代替となるスパム対策サービスとして大きな注目を集めています。

reCAPTCHA Enterpriseプランへの移行により、全サイトの合計リクエスト数が10,000リクエスト/月を超えると課金が発生する可能性があるためです。

「Cloudflare Turnstile」はどのようなプラグイン?

認証ツールCloudflare Turnstile(クラウドフレア ターンスタイル)

Cloudflare Turnstileは、Cloudflare社が提供する無料のスパム対策サービスであり、Google reCAPTCHAの代替ツールとして注目されています。リクエスト数の上限がなく、完全に無料で利用可能です。

このサービスは、従来のCAPTCHAのように画像パズルをユーザーに要求せず、裏側でブラウザの癖や人間の行動を自動的に検知・検証する「見えない認証」の仕組みを採用しています。これにより、ユーザー体験(UX)を向上させつつ、スパムボットからの攻撃を防止します。

ウェブサイトに導入する際、WordPressでは、「Contact Form 7」や「WPForms」といった対応済みプラグインを利用し、Cloudflareダッシュボードで取得したサイトキーとシークレットキーを設定します。Cloudflare Turnstileは、広告リターゲティング目的でデータを採取しないなど、プライバシーにも配慮されています

Cloudflare Turnstileを導入する理由とは?

Cloudflare Turnstileを導入する主な理由は、従来のCAPTCHA(reCAPTCHA)と比較して、主に以下の三点に優位性があるためです。

【 1 】 費用と利用制限
Google reCAPTCHAの無料利用枠が月間100万回から1万回に大幅に縮小され、それを超えると有料(課金)となるreCAPTCHA Enterpriseプランへの移行が必要になりました。
一方、Cloudflare Turnstileは評価数に上限がなく、100%無料で利用可能です。

anser-man

最近のことだと思いますが、新しいワードプレスのブログにコンタクトフォームをインストールしようとすると以下のように表示されました。

reCAPTCHA をご利用の方へ: Google はすべての reCAPTCHA ユーザーを reCAPTCHA Enterprise に移行させる計画を進めています。これは無料枠を超過した API 呼び出しについて Google から課金されるということです。Contact Form 7 は Cloudflare Turnstile をサポートしており、reCAPTCHA を選択しなければならない理由がある場合を除いて Turnstile の利用を推奨しています。

【 2 】 ユーザーエクスペリエンス(UX)の向上
従来のCAPTCHAのような「〇〇を選んでください」といった煩わしい画像パズルを要求せず、ブラウザの癖などを裏側で自動的にチェックする「見えない認証」を採用しています。これにより、ユーザーのストレスを解消し、フォームからの離脱率改善に貢献します。

【 3 】 プライバシーへの配慮
Cloudflare Turnstileは、他のCAPTCHAオプションとは異なり、広告リターゲティングのためにデータを採取しないように設計されています。

「Cloudflare Turnstile」の機能とは?

Cloudflare Turnstile(クラウドフレア ターンスタイル)は、従来のCAPTCHAに代わる無料の検証ツールとして、スパムボットからの攻撃を防止する機能を提供します。

ウェブサイトのセキュリティを強化しつつ、ユーザーエクスペリエンス(UX)を損なわないよう設計されています。

主な機能と特徴は以下の通りです。

  • 非干渉型認証(見えない認証):
    ユーザーに対して画像パズルや視覚的なテストを要求せず、ブラウザの癖や人間の行動を検出する高度なボット検知技術を裏側で実行し、人間であることを確認します。これにより、認証プロセスがシームレスになります。
  • 完全無料での提供:
    評価数(リクエスト数)の上限がなく、100%無料で利用可能です。
  • プライバシー保護:
    広告リターゲティングのためにデータを採取することはなく、ユーザーのプライバシーに配慮しています。
  • 容易な統合:
    取得した「サイトキー」と「シークレットキー」をWordPressなどのCMSやフォームに設定するだけで、簡単に導入できます。

Cloudflare Turnstileは、不正なログイン試行やDDoS攻撃など、様々な攻撃からウェブサイトを保護します。

「Cloudflare Turnstile」の導入のメリットとデメリットは?

Cloudflare Turnstile(クラウドフレア ターンスタイル)を導入するメリットとデメリットは以下の点が挙げられます。

メリット (Advantages)

  • 完全無料と利用制限の緩和:
    従来のreCAPTCHAが月間1万リクエストを超えると有料プランに移行するのに対し、Turnstileは評価数(リクエスト数)の上限がなく、100%無料で利用できます。
  • 優れたユーザーエクスペリエンス(UX):
    ユーザーに画像パズルを求めず、ブラウザの癖や行動を検出する「見えない認証」を裏側で実行するため、ユーザー負担が少なく、離脱率の低下が期待できます。
  • プライバシー保護:
    広告リターゲティングのためにデータを採取しないよう設計されており、ユーザーのプライバシーに配慮しています。

デメリット・注意点 (Drawbacks/Cautions)

  • 完全な排除ではない:
    どんなスパム対策ツールもスパムボットを100%完全に排除できるわけではないため、WAF(Web Application Firewall)など他の多層的なセキュリティ対策と組み合わせて利用することが推奨されます。
  • 誤検知のリスク:ごく稀に、正当なユーザーをボットと誤認識(誤検知)し、アクセスをブロックしてしまうおそれがあり、フォームからの離脱につながるリスクがあります。
  • 競合の確認:導入後、既存のセキュリティ対策プラグインやシステムとの間で、競合や予期せぬ不具合が発生しないか確認が必要です。

「Cloudflare Turnstile」の導入方法

Cloudflare Turnstileをウェブサイトに導入するための最初の設定は、主に「Cloudflareアカウントでのキーの発行」と「ウェブサイト(CMSやフォーム)へのキーの登録」という流れで進められます。

専門知識は必要なく、初心者の方でも比較的簡単に導入できます。

以下に、Cloudflare Turnstileの基本的な設定手順を解説します。

Cloudflare Turnstileの基本的な導入方法

導入手順は大きく分けて以下の4つのステップとなります。


【ステップ1】:Cloudflareアカウントの作成とログイン

1. Cloudflare公式サイトにアクセス し、アカウントを作成します。

Cloudflare Turnstile 製品ページ URL

2.「利用開始」ボタンをクリックして、アカウント登録ページに進みます。

認証ツールCloudflare Turnstile(クラウドフレア ターンスタイル)

3. メールアドレスとパスワードを入力するか、Googleアカウントなどでサインアップします。

認証ツールCloudflare Turnstile(クラウドフレア ターンスタイル)のアカウント登録

4. 登録したメールアドレス宛に認証メールが届くため、メールアドレスの認証を行います。

Cloudflare Turnstile(クラウドフレア ターンスタイル)の本人確認

これで登録が完了です。

【ステップ2】:Turnstileダッシュボードでウィジェットの追加とホスト名登録

1. Cloudflareダッシュボードにログイン後、左サイドバーから ①「Turnstile」メニューを選択し、②「ウィジェットを追加」をクリックします。

ウィジェットを追加

2. ウィジェット名(後で識別するための任意の名前)を入力します。画像では「はじめてのホームページ」と入力しています

Cloudflare Turnstile(クラウドフレア ターンスタイル)のウィジェット追加

3. ①「+ ホスト名の追加」をクリックし、Cloudflare Turnstileを設定したいサイトのドメイン(ホスト名)を完全修飾ドメイン名(FQDN)で入力し、②「追加」をクリックします。

Cloudflare Turnstileのホスト名追加

anser-man

ホスト名にルートドメイン(例:example.com)が追加されていれば、サブドメインやサブディレクトリも自動的に利用できることが試行結果から示されています。

4. 「ウィジェット モード」を選択します。通常は、セキュリティと利便性のバランスが取れている「管理対象」(推奨)のままで問題ありません。

Cloudflare Turnstileのウィジェットモード設定


最後に画面右下の「作成」ボタンをクリックします。

【ステップ3】:サイトキーとシークレットキーの取得

1. ウィジェットの作成が完了すると、画面に「サイトキー」と「シークレットキー」が表示されます。

Cloudflare Turnstileのシークレットキー

2. この2つのキーは、ウェブサイトとTurnstileを連携させるために必須となりますので、安全な場所にコピーして控えておきます。特にシークレットキーは、ウェブサイトのサーバー側で厳重に管理し、他人に絶対に見せないようにする必要があります
キーは、ウィジェットの「Settings」画面でいつでも確認・コピーできます。

【ステップ4】:CMS(WordPressなど)やフォームへの連携設定

■ワードプレスの「コンタクトフォーム」に設置してみる

では、実際にCloudflare Turnstileを導入してみます。今回はワードプレスのプラグイン「Contact Form 7」に組み込んでみます。

「Contact Form 7」のような人気のフォームプラグインは、Cloudflare Turnstileに対応済みです。

Cloudflare Turnstile(クラウドフレア ターンスタイル)をコンタクトフォームに組み合わせる手順は、主に「キーの取得」と「フォームプラグインへの設定」の2つのステップで構成されます。

【ステップ1】キーの取得
既に、Cloudflareのダッシュボードで、サイトとTurnstileを連携させるためのサイトキーとシークレットキーを取得しましたので用意しておきます。

【ステップ2】
WordPress管理画面の「お問い合わせ」メニューから ①「インテグレーション」にアクセスします。

コンタクトフォームに設置

先にCloudflareのダッシュボードから取得した ②「サイトキー」と「シークレットキー」を入力して ③「変更を保存」で設置完了です。

導入後の確認

キーの設定が完了したら、実際にフォームや画面にTurnstileのウィジェット(認証ボックス)が正しく表示されているか、またスパム対策が機能しているか設置確認を行い、導入は完了です。

Cloudflare Turnstileの設置確認

最後に

Cloudflare Turnstileを導入し初期設定を完了することで、サイト運営者は以下の3つの主要な点で大きな安心感が得られます。

  1. コストと利用制限の解消
    Google reCAPTCHAの無料利用枠が縮小され有料化の懸念があるのに対し、Cloudflare Turnstileは評価数(リクエスト数)の上限がなく、100%無料で利用できます。これにより、将来的なコスト増加の不安から解放されます。
  2. 高度でストレスのないスパム防御
    従来のCAPTCHAのような煩わしいパズルをユーザーに要求せず、ブラウザの癖や人間の行動を検出する「見えない認証」を裏側で実行します。これにより、悪意のあるボットからの攻撃を防止しつつ、本物のユーザーの離脱率を改善し、Web体験を向上できるという安心感が得られます。
  3. プライバシーへの配慮
    ユーザーのデータを広告リターゲティングのために採取しない設計となっており、プライバシーを保護しながらセキュリティを強化できるという安心感があります。

導入により、サイトのセキュリティを強化しながらも、ユーザーの利便性を損なわない状態を実現できます。ただし、いかなるツールもスパムボットを完全に排除できるわけではないため、多層的なセキュリティ対策の一部として利用することが推奨されます。