menu
Webを活用してお客様のビジネス課題を解決します。札幌・東京を拠点にWebコンサルティングをコアにした、Web制作・システム開発・サーバ構築会社です。

reCAPTCHA v3 の移行先としての Cloudflare Turnstile

シェア
ツイート
シェア
ブックマーク
タイトルとURLをコピー

公開日:2025/12/08

はじめに

2024年にGoogle reCAPTCHA の無料枠が従来の 1/100 に大幅縮小されました。

これまでほとんど意識せずに使えていた無料枠が現在は月あたり 1 万回程度の利用までに制限されています。これはページ全体の挙動をスコアリングする reCAPTCHA v3 の仕組みと非常に相性が悪く、さらに料金モデルも「使った分だけ青天井」であるため、もはや気軽に利用できるサービスではなくなってしまいました。

reCAPTCHA の目的は不正なボットによるアクセスへの対策です。特にフォームに適用することで、不正ログインやスパム投稿、データの汚染などを防いでくれる役割があります。したがって、同様の目的を達成できるツールであれば必ずしも reCAPTCHA というサービスを選択する必要はありません。

これまでは reCAPTCHA が非常に有名で、導入サポート記事や既存 CMS 向けのプラグインも多く、事実上の業界標準として使われてきました。しかし、有料化・無料枠縮小を経て、その「標準」が崩れつつあると見ることができます。その結果として、reCAPTCHA ではなく新しいサービスを第一候補として選択する余地が生まれました。

本記事ではまず reCAPTCHA v3 がなぜ現在の料金体系と非常に相性が悪くなってしまったのかを整理し、そのうえで、無料の移行先として注目されている Cloudflare Turnstile について説明していきます。

reCAPTCHA v3 の仕組みと料金体系

reCAPTCHA v2 はフォームにウィジェットを設置して「私はロボットではありません」というチェックボックスなどを表示するタイプのサービスでした。
reCAPTCHA v3 はそれとは異なり、サイト全体の利用状況をもとにユーザーの挙動が正常なものかどうかを判定し、フォーム送信時にそれまでの行動履歴からスコアを算出する仕組みを提供します。v3 ではユーザーが直接操作するチェックボックスなどは通常表示されません。
この仕組みによって、利用者はより自然にサイトを利用でき、フォーム投稿のたびに人間かどうかの判定操作を行わなくてもよい、というメリットがあります。

一方で「利用者が正常であるか」を判断するためにサイト全体の利用状況を reCAPTCHA v3 の API 経由で報告することが推奨されています。言い換えると、「ページにアクセスするたびに API を 1 回呼び出す」という構成になることが前提とされています。
旧来の無料枠(ページ全体で 100 万ビュー/月)であれば、小規模なサイトであれば十分な余裕を持って利用できましたが、現在の制限である 1 万ビュー/月では、本当にごく小さなサイトを除き、事実上無料利用は難しくなったと言えます。

このように「v2 とは異なり、サイト全体で API を呼び出す」仕組みを提供しておきながら、その無料枠を 1/100 にまで削減してしまった結果、これまで無料で利用していたユーザーからは「現実的には無料で使えるサービスではない」という印象を持たれるようになったと考えています。

さらに、reCAPTCHA v3 の料金は上限のない従量課金です。2025年12月現在の reCAPTCHA ( v2/v3 共通)では、以下のような料金体系が提示されています。

  • 月 1 万回まで:無料(Essentials)
  • 月 10 万回まで:月額 8 ドル(Standard)
  • 月 10 万回以上:月額 8 ドル + 10 万回を超えた分について、1,000 回あたり 1 ドル(Enterprise)

Essentials の場合は、月 1 万回を超えると reCAPTCHA が動作しなくなり、実質的に機能を利用できなくなります。一方、Standard の場合は月 10 万回を超えると自動的に Enterprise に移行し、超過分に対して従量課金が発生します。
詳細なプラン構成や最新の料金は、Google Cloud の公式ドキュメントにある reCAPTCHA の「Pricing」ページを参照してください。

reCAPTCHA は「導入すればアクセスや売上が直接伸びる」種類のサービスではなく、不正アクセスやスパムを未然に防ぐためのいわば予防のためのサービスです。そのため、「トラフィックが増えれば増えるほど費用が青天井になる」と聞くと採用に慎重にならざるを得ないと感じるサイト運営者や決裁者は多いのではないでしょうか。

reCAPTCHA の代替サービス

reCAPTCHA の代替となるサービスには、ざっくり分けて次のようなものがあります。

  • ウェブサイト上に専用スクリプトを設置し、不正なアクセスを判定・スコア化してくれるサービス
  • Web Application Firewall(WAF)のように、アプリケーションに届く前の段階で不正アクセスを検知・遮断するサービス

とはいえ、多くの方が探しているのは「WAF ではなく、reCAPTCHA の素直な代わり」だと思います。

WAF はフォーム投稿だけでなく、ウェブアプリケーション全体の脆弱性を幅広く防いでくれる、いわば上位互換のような存在です。しかし、そのぶん料金もそれなりであることが多く、小規模サイトで気軽に導入されるケースはあまり多くありません。そのため、現実的には前者の「サイト側に設置してボット判定を行うタイプのサービス」を検討することになります。

上記の問題が起こるのは reCAPTCHA v3 なので、reCAPTCHA v2 を利用すればページビューごとのAPI消費という問題は回避できます。v2 では「フォーム送信時のみ」API呼び出しが発生するため、ページビュー数に関わらず、実際のフォーム送信回数だけがカウントされます。しかし、v2 も同じ料金体系が適用されるため、Essentials プランでは月1万回のフォーム送信・検証を超えると reCAPTCHA の機能を利用できなくなります。 通常のサイト運用では十分な回数ですが、bot による連続攻撃を受けた場合、1万回という制限はやや心もとない数値となります。

現在、reCAPTCHA の代替サービスとして特に注目されているのが Cloudflare Turnstile です。以降では、このサービスの特徴と導入方法について説明していきます。

Cloudflare Turnstile とは

Cloudflare Turnstile は、2023年9月に一般提供が開始された Cloudflare のボット検知サービスで、reCAPTCHA の代替として位置づけられています。 主な特徴は次の通りです。

  • 無料で利用可能
    Turnstile は現在も無料で利用できます(Freeプラン)。このプランではリクエスト数ベースの課金はなく、「チャレンジ回数は無制限」で、アカウントあたり最大 20 ウィジェットまで利用できるという制限のみが公式ドキュメントに記載されています(2025年12月時点)
  • reCAPTCHA からの置き換えが容易
    Cloudflare 自身が「スマートな CAPTCHA 代替」として紹介しており、フロント側にスニペットを設置し、サーバー側でトークンを検証する、という構成は reCAPTCHA と非常によく似ています。そのため、既存の reCAPTCHA 実装を Turnstile に差し替えるサンプルコードや、多くの CMS 向けプラグインが既に提供されており、導入ハードルは低いと言えます。
  • 既存のサイトにそのまま導入可能
    Cloudflare の CDN を使う場合には該当ドメインのネームサーバーを Cloudflare に切り替える必要がありますが、Turnstile 自体は Cloudflare の他サービスと独立しており、トラフィックを Cloudflare 経由にする必要はありません。Cloudflare アカウントを作成し、Turnstile のサイトキーとシークレットキーを発行してフォームに組み込むだけで、既存のホスティング環境のまま導入できます。

このように、「無料で reCAPTCHA を使っていた層」が、同等の予防効果を引き続き無料で得られるサービスとして機能しています。

また、公式ドキュメントでは、サーバーサイドで受け取ったトークンを検証し、独自の認証フローやスパム対策ロジックに組み込む方法も用意されています。

https://developers.cloudflare.com/turnstile/get-started/server-side-validation/

WordPress への導入例

WordPress では、Cloudflare Turnstile を導入するためのプラグインがいくつか用意されています。
問い合わせフォームであれば Contact Form 7 が Turnstile との連携機能を公式にサポートしており、ログインフォームなど WordPress コアの各種フォームをまとめて保護したい場合には Simple CAPTCHA Alternative with Cloudflare Turnstile(プラグイン名:Simple Cloudflare Turnstile)などが利用できます。

実際の導入手順の一例(Simple Cloudflare Turnstile を使う場合)は次の通りです。

  • プラグイン「Simple Cloudflare Turnstile」をインストールして有効化する
  • Cloudflare Turnstile の管理画面で、対象サイトのホスト名を指定してウィジェット(サイト)を作成する
  • 発行されたサイトキー/シークレットキーをプラグインの設定画面に入力する
  • ログインフォームや問い合わせフォームなど、Turnstile を有効化したいフォームをプラグイン側で選択する

例えば、Simple CAPTCHA Alternative with Cloudflare Turnstile によってログイン画面に Turnstile を有効化すると、標準設定のままでもログインフォームの下に Turnstile ウィジェットが表示されます。ページを開いた状態でしばらく放置しているとトークンの有効期限が切れて自動的にチェックが外れ、その状態でログインしようとすると認証が失敗します。

まとめ

この記事では、reCAPTCHA の無料枠が 1/100 に縮小されたことで、v3 の仕組み(ページ単位でのスコアリング)と料金体系が噛み合わなくなり、多くのサイトにとって「実質的に無料では使えないサービス」になってしまった理由を整理しました。
そのうえで、同様のボット対策を無料で継続できる有力な移行先として、Cloudflare Turnstile の特徴と導入方法を紹介しました。

ボット対策はあくまで「予防」であり、直接売上を生む機能ではないため、そこに追加のランニングコストや保守工数を割くのは難しい場面も多いと思います。そうした中で、Cloudflare が Turnstile を無料で提供していることは、中小規模サイトにとって非常にありがたい選択肢と言えるでしょう。

現在、何も対策を入れていないサイトや、中小規模のウェブサイトで Google reCAPTCHA に惰性で課金し続けているケースでは、一度あらためて仕組みを見直し、Cloudflare Turnstile への移行を検討してみる価値があります。ボット対策を適切に行うことは、セキュリティ面だけでなく、「きちんと手入れされたサイト」であるという意味でも、サイト全体の完成度を高める一歩になるはずです。

もちろん、サービスの料金変動やベンダーロックインのリスクはあります。 しかし、これはどのクラウドサービスを利用する場合でも共通のリスクです。重要なのは、定期的に料金体系やサービス内容を見直し、その時点での自サイトに最適な選択を続けることだと考えています。