お問い合わせフォームや会員登録ページを狙ったスパム・bot対策として定番なのが「Google reCAPTCHA v3」です。導入にはサイトに埋め込むための2つのキー(サイトキー/シークレットキー)が必要になります。
この記事では、はじめての方でも迷わないように、reCAPTCHA v3のキーを取得する流れを画面の操作順にそって解説します。2025年末から進んだ「Google Cloudへの統合」を踏まえた、最新の手順でまとめています。
reCAPTCHA v3 とは
reCAPTCHA v3は、Webサイトやアプリを自動プログラム(bot)や不正アクセスから守るためのGoogle製のセキュリティツールです。月10,000回の評価まで無料で利用でき、多くのサイトは無料の範囲で導入できます。
以前のバージョンのように「画像を選んでください」「私はロボットではありません」といった操作を訪問者に求めることはありません。代わりに、サイト上での行動をスコア(0.0〜1.0)で評価し、人間らしい操作かどうかを裏側で自動判定します。ユーザーの手をわずらわせずにスパムを弾けるのが最大の特長です。
事前に準備するもの
- Googleアカウント(普段お使いのものでOK)
- reCAPTCHAを設置する サイトのドメイン(例:
example.com)
reCAPTCHA v3 キーの取得手順
STEP 1:reCAPTCHA管理コンソールを開く
まずは下記のキー作成ページにアクセスします。
https://www.google.com/recaptcha/admin/create
- Googleアカウントにログインしていない場合は、ログイン画面が表示されるのでサインインします。
- すでに別のサイトでキーを発行したことがある場合は、登録済みサイトの一覧(ダッシュボード)が開きます。その場合は画面右上の「+(追加)」ボタンから新規登録に進んでください。
STEP 2:ラベル(管理名)を入力する
「ラベル」欄には、このキーを後から見分けるための名前を自由に入力します。表示用ではなく、あくまで管理画面で識別するためのメモのような役割です。
複数のサイトを運用していると、どのキーがどのサイト用か分からなくなりがちです。ドメイン名(例:example.com)をそのままラベルにしておくと、後々の管理がぐっと楽になります。
STEP 3:reCAPTCHAタイプを選ぶ
「reCAPTCHAタイプ」では 「スコアベース(v3)」 を選択します。
これがv3に該当する設定です。チェックボックス型の「私はロボットではありません」を使いたい場合は「チャレンジ(v2)」を選びますが、今回は不要です。
STEP 4:ドメインを登録する
「ドメイン」欄に、reCAPTCHAを設置するサイトのドメインを入力します。
ここでは https:// や www.、末尾のスラッシュは付けず、ドメイン部分だけ を入力するのがポイントです。
- ✅ 良い例:
example.com - ❌ 悪い例:
https://www.example.com/
サブドメインを使う場合や複数のドメインで使い回したい場合は、入力後に追加ボタンを押すことで複数登録できます。
STEP 5:Google Cloudプロジェクトを設定する
画面内の 「Google Cloud Platform」 の項目を開きます。
- Google Cloudを初めて使う場合は、ログイン中のアカウント情報をもとにプロジェクトが自動で用意されます。
- すでにGoogle Cloudを利用したことがある場合は、既存のプロジェクト名が表示されるので、紐づけたいプロジェクトを選びます。新しく作ることも可能です。
プロジェクト名も、ラベルと同じく 後から管理しやすい名前 にしておくのがおすすめです。
STEP 6:利用規約に同意して送信する
Google Cloudを初めて使う場合は、Google Cloud Platformおよび関連するサービス・APIの利用規約が表示されます。内容を確認し、同意のチェックボックスにチェックを入れてください(すでにGoogle Cloudを利用したことがある場合は、表示されないこともあります)。
最後に 「送信」ボタン をクリックします。
STEP 7:サイトキーとシークレットキーをコピーする
送信が完了すると、発行された2つのキーが表示されます。
| キーの種類 | 役割 | 使う場所 |
|---|---|---|
| サイトキー (Site Key) | サイト上に表示・読み込ませる公開用のキー | フロント側 (HTML / JavaScript) |
| シークレットキー (Secret Key) | 送信内容が正しいか検証するための秘密のキー | サーバー側 (外部に公開しない) |
サイトキーはページに埋め込むため公開されても問題ありませんが、シークレットキーは絶対に外部へ公開しないよう注意してください。
それぞれのキーをコピーして、安全な場所(パスワード管理ツールや社内の保管場所など)に控えておきましょう。Web制作会社などに実装を依頼している場合は、この2つのキーを共有すればOKです。
補足①|発行済みキーの管理画面
reCAPTCHAはサイトやアプリごとに設定が必要なため、運用が増えるほど複数のキーを管理することになります。過去に作成したキーの確認・編集は、下記のダッシュボードから行えます。
reCAPTCHA管理画面: https://www.google.com/recaptcha/admin/
補足②|Google Cloudコンソールから確認する場合
Google Cloud統合後は、Google Cloudコンソール側からもキーを確認・管理できます。
- サイトキー:Cloudコンソールの「reCAPTCHA」→対象キーの「キーの詳細」に表示される「ID」がサイトキーにあたります。
- シークレットキー:キー詳細内の「サードパーティのサービスやプラグインと統合する」を開くと、ポップアップで従来の(レガシー)シークレットキーが確認できます。
WordPressのプラグイン(Contact Form 7など)や独自実装で、従来どおりサイトキー/シークレットキーが必要な場合は、こちらから確認してください。
よくある質問
まとめ
reCAPTCHA v3のキー取得は、流れさえ押さえれば数分で完了します。
- 管理コンソールにアクセス
- ラベル(管理名)を入力
- タイプは「スコアベース(v3)」を選択
- ドメインを入力
- Google Cloudプロジェクトを設定
- 利用規約に同意して送信
- サイトキー・シークレットキーをコピー
発行したキーを安全に保管し、サイトへの実装に進みましょう。シークレットキーの取り扱いだけはくれぐれもご注意ください。
