2026 年 5 月 16 日、InfoQ が Google Introduces Cloud Fraud Defense as Successor to reCAPTCHA を報じました。Cloud Fraud Defense は reCAPTCHA Enterprise を統合し、フォーム不正・カードテスト・アカウント乗っ取りを 1 つの SDK で横断検知する新サービスです。Google は reCAPTCHA v3 / Enterprise を「Cloud Fraud Defense の構成要素」と位置付け、段階的に主軸を移していく方針を明言しました。
受託案件として中堅企業の Web フォームを運用してきた立場では、これは 「12 か月以内に通る道」 です。お問い合わせフォーム、会員登録、申込フォーム、決済フローなど 企業の収益接点を守る仕組みを、bot トラフィック増加 (Vercel コスト Bot 保護受託 で扱った課題) を背景に再設計する必要があります。本記事では弊社が提供する 「フォーム保護移行 + 不正検知運用代行」 受託パッケージを整理します。
なぜ「reCAPTCHA だけ」では足りなくなったか
| 課題 | reCAPTCHA v3 単体 | Cloud Fraud Defense |
|---|---|---|
| bot 検知精度 | スコアベース、フォーム単位 | デバイス指紋 + 行動分析 + 端末履歴 |
| フォーム不正検知 | 限定的 | 専用シグナル(フィールド改ざん検知) |
| カードテスト攻撃 | 検知不可 | 専用検知器 |
| アカウント乗っ取り | 検知不可 | ATO(ATO = Account Takeover)専用 |
| 多サイト横断学習 | 不可 | グローバル脅威インテリ |
| 経営層への可視化 | スコア羅列 | リスクダッシュボード |
LP / コーポレートサイトの ROI を LP 制作費用ガイド で議論しても、bot 流入の比率が上がれば CV 単価は際限なく上昇します。フォーム保護は マーケティング費用効率に直結する経営課題です。
Cloud Fraud Defense が変える 3 つの構造
構造 1: 「フォーム保護」から「セッション保護」へ
reCAPTCHA はフォーム単位の単発判定でしたが、Cloud Fraud Defense は 訪問開始 → フォーム → 決済の一連を 1 セッションとして判定します。受託側は 計測ポイントの再設計が必要になります。
構造 2: 「サードパーティ Cookie 全廃時代」の代替シグナル
Cookie 廃止が進む中、Cloud Fraud Defense は デバイス指紋 + 行動シグナルで代替判定します。受託で運用するサイトは 計測手段の世代交代を伴います。
構造 3: 「reCAPTCHA キーの移行コスト」を顧客に説明する義務
reCAPTCHA Enterprise キーは Cloud Fraud Defense に移行可能ですが、料金体系・API 仕様が変わるため、顧客への影響説明が必須です。
受託で提供する「フォーム保護移行 + 不正検知運用代行」5 フェーズ
フェーズ 1: 現状監査(2 週間)
reCAPTCHA キー一覧、フォーム別の bot 流入率、不正 CV 件数、決済不正の発生履歴を棚卸しします。「どのフォームが攻撃を受けているか」を顧客と合意します。EFO フォーム最適化ガイド のフォーム棚卸し手法を流用します。
フェーズ 2: 設計(3 週間)
Cloud Fraud Defense のスコア閾値、検知シグナル、対応アクション(CAPTCHA 表示 / ブロック / 監査ログ送信)を設計します。「誤検知を許さないフォーム」(決済)と 「ブロックを許容するフォーム」(無料DL)を区別します。
フェーズ 3: 実装 + 移行(4〜6 週間)
既存 reCAPTCHA をフラグで段階置換します。Astro / Next.js / WordPress いずれでも SDK 統合パターンは SMB Web マーケ戦略 で扱った CMS 受託と同様、フラグドプロイを徹底します。
フェーズ 4: 運用ダッシュボード構築(2 週間)
Cloud Fraud Defense のリスクダッシュボードを BigQuery + Looker Studio で再集計し、マーケ部門が読める形式に変換します。
フェーズ 5: 月次レビュー(継続)
月次で 「ブロック数 / 誤検知数 / CV 単価 / 不正 CV 削減効果」を顧客経営層に報告し、閾値を継続調整します。
受託向け技術スタック標準セット
| レイヤ | 推奨技術 | 代替 |
|---|---|---|
| 保護基盤 | Cloud Fraud Defense | Cloudflare Turnstile + Bot Management |
| 行動シグナル | reCAPTCHA Enterprise + Action API | hCaptcha Enterprise |
| ログ集約 | Cloud Logging + BigQuery | Datadog |
| ダッシュボード | Looker Studio | Tableau |
| アラート | Cloud Monitoring + Slack | PagerDuty |
| A/B フラグ | LaunchDarkly / GrowthBook | 自前環境変数 |
どの案件に必要か / 不要か
| 必要な案件 | 不要な案件 |
|---|---|
| 月間 PV 10 万以上の B2B / B2C サイト | 社内限定サイト |
| 決済・申込フォームを保有 | 静的 LP のみ |
| 月間 CV 単価が広告費の 30% 以上 | 広告未実施 |
| reCAPTCHA v3 / Enterprise 利用中 | reCAPTCHA 未導入 |
| マーケ部門が CV 品質を KPI 化 | KPI 未整備 |
受託契約に書く 6 つの条項
| 条項 | 内容 | 顧客が確認すべきこと |
|---|---|---|
| 対象フォーム | 保護対象フォームの一覧 | 範囲外フォームの責任 |
| 誤検知 SLA | 月次誤検知率の上限 | 営業機会損失補填 |
| キー所有権 | API キーの保有者 | 退会時の引き渡し |
| ログ保管期間 | 不正検知ログの保管 | 法務 / 監査要件 |
| 閾値変更の意思決定 | 月次レビュー方式 | 緊急時のフロー |
| インシデント時の連絡網 | 攻撃検知時の通知先 | 24h 体制の要否 |
価格モデル — フォーム保護移行 + 不正検知運用代行パッケージ
| プラン | 金額 | 対象 | 内容 |
|---|---|---|---|
| 診断 | 50 万円〜(4 週間) | 現状監査 + 設計書 | フォーム棚卸し + 攻撃ログ分析 |
| Lite | 18 万円〜 / 月 | 1〜3 フォーム | 月次レビュー + 閾値調整 |
| Standard | 45 万円〜 / 月 | 4〜10 フォーム | + ダッシュボード + アラート 24h |
| Enterprise | 100 万円〜 / 月 | 10+ フォーム | + 専任担当 + 攻撃発生時即応 |
別途 Cloud Fraud Defense 利用料(顧客実費 + マネジメントフィー 10〜15%)。
顧客側 ROI 試算(月間 PV 30 万・月間 CV 1,500 件想定)
| 項目 | 移行前 | 移行後 | 差分 |
|---|---|---|---|
| 不正 CV 比率 | 18% | 3% | -15pt |
| 月間不正 CV 件数 | 270 件 | 45 件 | -225 件 |
| 営業対応コスト(不正 CV 対応) | 80 万円 / 月 | 13 万円 / 月 | -67 万円 |
| 広告費当たり実 CV 単価 | 8,200 円 | 6,800 円 | -1,400 円 |
| 年間効果 | — | — | 約 1,000 万円 |
Standard プラン(年額 540 万円)に対し、初年度から黒字化する水準です。
ハマりやすい 5 つの落とし穴
落とし穴 1: 誤検知閾値を「最高セキュリティ」に固定
CV 数が激減します。業務影響と相談しながら閾値を段階上げするのが原則です。
落とし穴 2: 既存 reCAPTCHA キーを残したまま並行運用しすぎる
ユーザー体験で 2 重 CAPTCHA が発生し離脱率が上がります。移行期間は最大 4 週間で線引きします。
落とし穴 3: モバイルアプリ統合を後回しにする
Web だけ強化してアプリが穴になる例が頻発します。Web + iOS + Android を同時設計します。
落とし穴 4: マーケと SRE がデータを共有しない
不正 CV 削減効果を マーケが知らないと契約継続率が落ちます。月次会議に両部門必須です。
落とし穴 5: 「ブロック数」だけ KPI 化する
ブロック数を増やせば誤検知も増えます。「ブロック数」+「誤検知率」+「CV 単価」の 3 軸で管理します。
90 日アクションプラン
| 週 | アクション |
|---|---|
| Week 1〜2 | フォーム棚卸し + 攻撃ログ分析 |
| Week 3〜5 | 設計書作成 + 顧客合意 |
| Week 6〜11 | 段階置換 + フラグドプロイ |
| Week 12〜13 | ダッシュボード公開 + 月次会議立ち上げ |
まとめ — reCAPTCHA 単体運用は 12 か月以内に終わる
Cloud Fraud Defense の登場は、「フォーム単位の単発判定」から「セッション横断の不正検知」へのパラダイム転換を意味します。中堅企業の受託サイトを預かる立場では、12 か月以内に移行計画を提示できないと顧客流出リスクを抱えます。
弊社では 診断 / Lite / Standard / Enterprise の 4 段階で フォーム保護移行 + 不正検知運用代行パッケージを提供しています。「reCAPTCHA のスコアが当てにならない」「不正 CV で営業が疲弊している」「広告費当たりの CV 単価が上がっている」というご相談は お問い合わせフォーム からお気軽にどうぞ。
