sg sg-security-measures unauthorized_access access_control
まず結論
CAPTCHAは、アクセスしている相手が人間かプログラム(ボット)かを判別する仕組みです。
SG試験では「本人確認ではなくボット対策」である点を見極める問題がよく出ます。
直感的な説明
「人にしかできない問題を出すチェック」です。
例えば:
- ゆがんだ文字を読む
- 画像から信号機を選ぶ
- 「私はロボットではありません」にチェック
👉 人間ならできるが、プログラムには難しい
つまり、 「ログインの前に人間かどうかをチェックする関門」です。
定義・仕組み
CAPTCHA(キャプチャ)は、ボットによる自動操作を防ぐために、人間とプログラムを区別する仕組みです。
基本の流れ
- ユーザがアクセス・入力を行う
- システムがCAPTCHAを表示
- ユーザが問題を解く
- 正しければ処理を許可
主な種類
- 文字認識型(ゆがんだ文字)
- 画像選択型(信号機・横断歩道など)
- チェックボックス型(reCAPTCHA)
👉 最近は操作履歴から自動判定するタイプもある
どんな場面で使う?
よくある利用例
- ログイン画面(ブルートフォース攻撃対策)
- 会員登録(スパム防止)
- 問い合わせフォーム(自動送信防止)
使うべき場面
- 自動化された大量アクセスを防ぎたい
- ボットによる不正操作を防ぎたい
注意が必要な場面
- 本人確認が必要な場面
→ CAPTCHAだけでは不十分(認証とは別物)
よくある誤解・混同
❌ 誤解1:認証方式の一種
→ 違う
- CAPTCHA:人間かどうかの判定
- 認証:本人確認(ID・パスワードなど)
👉 目的が違う
❌ 誤解2:セキュリティを完全に守る
→ 違う
- ボット対策には有効
- なりすまし対策には不十分
👉 多要素認証などと組み合わせる必要あり
❌ 誤解3:ユーザ認証を強化する仕組み
→ 違う
- CAPTCHAは「前段のフィルター」
- 認証そのものではない
SG試験のひっかけパターン
- 「本人確認を行う仕組み」→ ❌
- 「ボットによる不正アクセス防止」→ ⭕
- 「認証強化の方法」→ ❌
- 「入力制限や自動化対策」→ ⭕
確認問題(SG試験対策)
次のうち、最も適切なものはどれか。
A. CAPTCHAは、利用者が本人であることを確認する認証方式であり、なりすまし防止の中心対策である。
B. CAPTCHAは、アクセス元が人間かボットかを判別し、自動化された不正試行を抑えるための仕組みである。
C. CAPTCHAは、通信内容を暗号化して盗聴を防ぐための技術である。
D. CAPTCHAは、マルウェア感染端末を検知して自動隔離するための仕組みである。
答えと解説を見る
正解:B
解説
- A:誤り。CAPTCHAは本人確認(認証)ではなく、人間か自動化プログラムかの判別が目的です。
- B:正しい。ボットによる自動登録・自動ログイン試行などの抑止に有効です。
- C:誤り。通信暗号化はTLSなどの役割で、CAPTCHAの機能ではありません。
- D:誤り。端末隔離はEDR等の領域であり、CAPTCHAの説明とは異なります。
👉 判断ポイント
「本人確認」ではなく「自動化された試行を抑える前段対策」として捉える。
まとめ(試験直前用)
- CAPTCHA=人間かボットかを判別
- 認証ではなく「前段の対策」
- ボットによる自動攻撃を防ぐ
- なりすまし対策にはならない
- 「本人確認かボット対策か」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】