Webサイトのスパム対策で「Cloudflare Turnstileのサイトキーとシークレットキーってどうやって取得するの？」と悩んでいませんか。Google reCAPTCHAの有料化に伴い、無料で高機能なCloudflare Turnstileに注目が集まっています。この記事では、Cloudflare Turnstileのアカウント作成からサイトキー・シークレットキーの発行方法まで、初心者の方でもわかるように詳しく解説します。画像を見ながら進めれば5分で完了します。

Cloudflare Turnstileのサイトキーとシークレットキーとは

Cloudflare Turnstileを導入する際に必要となる2種類のキーについてです。これらのキーは、WebサイトとCloudflare（クラウドフレア）のセキュリティシステムを連携させるために不可欠です。

サイトキーの役割と使用場所

サイトキーは、Webサイトの訪問者が見る画面に埋め込むための公開キーです。このキーをHTMLやプラグインに設定することで、Turnstileの認証ウィジェットが正常に動作します。サイトキーは外部に見えても問題がない性質を持っているため、JavaScriptなどのクライアント側コードに直接記述しても安全です。Turnstileの認証システムは、このサイトキーを通じてどのWebサイトからのリクエストなのかを識別しています。

シークレットキーの重要性とセキュリティ対策

シークレットキーは、サーバーサイドでTurnstileの認証結果を検証するための秘密鍵です。このキーは絶対に外部に漏らしてはいけない重要な情報であり、必ずサーバー側の環境変数や設定ファイルに保管する必要があります。シークレットキーを使用することで、ユーザーがTurnstileの認証を正しく通過したかどうかを、Cloudflareのサーバーに問い合わせて確認できます。もしこのキーが漏洩すると、第三者がなりすまして認証を偽装できてしまうため、厳重な管理が求められます。

2つのキーの連携による認証の仕組み

サイトキーとシークレットキーは、連携することで強固なセキュリティを実現しています。まずユーザーがWebサイトを訪問すると、サイトキーを通じてTurnstileウィジェットが読み込まれ、ブラウザの行動パターンを分析します。認証が完了するとトークンが生成され、フォーム送信時にサーバーへ送られます。サーバー側ではシークレットキーを使用してCloudflareのAPIにトークンを送信し、その正当性を検証します。

Cloudflare Turnstileアカウント作成の完全ガイド

Cloudflare Turnstileを利用するためには、まずCloudflareのアカウントを作成する必要があります。アカウント作成は完全無料で、クレジットカードの登録も不要です。この章では、アカウント作成の全手順を画像付きで解説します。

Cloudflare公式サイトへのアクセスと言語設定

まず、Cloudflare Turnstileの公式ページにアクセスします。

ページが英語で表示されている場合は、右上にある地球儀のアイコンまたは言語切り替えメニューから「日本語」を選択すると日本語表示に切り替わります。以降の設定画面もわかりやすくなりますのでおすすめです。ここからは日本語表示の説明で進めます。画面に表示されている「利用開始」ボタンをクリック。

アカウント登録画面での情報入力

「利用開始」ボタンをクリックすると、Cloudflareのサインアップ画面が表示されます。

この画面では、メールアドレスとパスワードの入力が求められます。メールアドレスは普段使用している有効なものを入力してください。パスワードは8文字以上で、大文字・小文字・数字を含む強固なものを設定することが推奨されます。

パスワードマネージャーを使用している方は、自動生成された強力なパスワードを使用するとより安全です。入力フィールドの下には、利用規約とプライバシーポリシーへのリンクが表示されているので、確認しておきましょう。

メールアドレスとパスワードによる登録のほかに、GoogleアカウントまたはApple IDを使用したソーシャルログインも選択できます。

メール認証とアカウントの有効化

アカウント情報を入力して「ログイン」ボタンをクリックすると、登録したメールアドレス宛に認証メールが送信されます。

認証が完了すると、自動的にブラウザが開き、Cloudflareのダッシュボード画面に遷移します。これでアカウントの作成と有効化が完了です。

ダッシュボードへの初回ログインと画面確認

アカウント認証が完了すると、Cloudflareのダッシュボード画面が表示されます。

初回ログイン時には、「Let’s make your website or app fast & secure」や「ウェブサイトを高速かつ安全にしましょう」といったウェルカムメッセージが表示される場合があります。この画面が表示された場合は、左上に表示されているCloudflareのロゴ（オレンジ色の雲のアイコン）をクリックすると、ホーム画面に戻ることができます。

この画面にアクセスできれば、アカウント作成プロセスは正常に完了しています。

ダッシュボードには、左側にサイドバーメニューが表示され、「アカウント ホーム」「アプリケーション　セキュリティ」などの項目が並んでいます。

Cloudflare Turnstileウィジェット作成とキー発行の手順

アカウント作成が完了したら、次はTurnstileのウィジェットを作成してサイトキーとシークレットキーを発行します。この作業は慣れれば3分程度で完了します。ここからが本題の、キー発行手順です。

Turnstileメニューへのアクセス方法

Cloudflareダッシュボードの左サイドバーから「Turnstile」メニューを探してクリックします。

表示されている青色の「ウィジェットを追加」ボタンをクリックしてください。

ウィジェット名の設定とわかりやすい命名規則

ウィジェット作成画面が表示されたら、最初に「ウィジェット名」に名前を入力します。

この名前はCloudflareの管理画面内でのみ使用される識別名なので、自分がわかりやすい名前を自由に付けることができます。日本語での入力も可能です。

おすすめは、「サイト名 – 用途」という形式が便利です。例えば「会社サイト – お問い合わせフォーム」「個人ブログ – コメント欄」「ECサイト – 会員登録」などです。複数のウィジェットを運用する予定がある場合は、後で見返したときにどのサイトのものかすぐにわかるような名前を付けておくと、管理が楽になります。

ドメイン登録の詳細手順と注意点

ウィジェット名を入力したら「+ホスト名の追加」をクリックします。

ここには、Turnstileを設置するWebサイトのドメイン名を入力します。プロトコル（https://）を含めず、ドメイン名のみを入力します。例えば「example.com」や「blog.example.com」のようにします。

wwwの有無については、実際にアクセスされるURLに合わせて入力します。一般的には、ルートドメイン（example.com）を登録しておけば、サブドメイン（www.example.com）やサブディレクトリ（example.com/contact）でも使用できます。入力が完了したら「追加」ボタンをクリックしてドメインを登録します。

ウィジェット作成の最終確認と作成ボタン

ウィジェットモードと事前クリアランスの選択はそのままで、画面を一度確認します。ウィジェット名が正しく入力されているか、ドメインが正確に登録されているか、ウィジェットモードが「管理対象」になっているかをチェックしてください。

入力内容に問題がなければ、画面右下にある「作成」ボタンをクリックします。

ボタンをクリックすると、数秒でウィジェットが作成され、あなた専用のサイトキーとシークレットキーが生成されています。

サイトキーとシークレットキーの確認と保存

ウィジェットが作成されると、画面にサイトキーとシークレットキーが表示されます。この2つのキーは、Turnstileを実際にWebサイトに実装する際に必要不可欠な情報です。この章では、キーの確認方法と安全な保存方法を解説します。

サイトキーとシークレットキーの確認

ウィジェットが作成されると、画面に「サイトキー」と「シークレットキー」という項目が表示されます。

この下に表示されている長い文字列があなたのサイトキーです。サイトキーもシークレットキーも「0x4AAAAAAA」といった形式で始まる文字列になっています。

2つのキーの違いと使い分けの重要性

サイトキーとシークレットキーは、形式が似ていますが、全く異なる役割を持っています。

サイトキーの使用場所：

• Webページのフロントエンド（HTML、JavaScript）
• WordPressプラグインの公開設定欄
• 訪問者のブラウザで実行されるコード
• 公開されても問題ない情報

シークレットキーの使用場所：

• サーバーサイドのバックエンド処理
• WordPressプラグインの非公開設定欄
• APIリクエストの認証
• 絶対に公開してはいけない情報

この2つを間違えて設定すると、セキュリティリスクが発生したり、Turnstileが正常に動作しなかったりします。設定時には必ず、どちらがサイトキーでどちらがシークレットキーなのかを確認してから入力してください。

まとめ

Cloudflare Turnstileのサイトキーとシークレットキーの発行は、アカウント作成から5分程度で完了する簡単な作業です。まずCloudflare公式サイトでアカウントを作成し、メール認証を完了させます。次にダッシュボードからTurnstileメニューに入り、ウィジェット名とドメインを登録してウィジェットを作成すれば、サイトキーとシークレットキーが自動的に発行されます。

発行されたキーは安全に保管し、サイトキーはフロントエンド、シークレットキーはバックエンドに正しく設定します。

Google reCAPTCHAの有料化が進む中、無料で評価回数無制限のCloudflare Turnstileは、スパム対策の最有力候補です。この記事の手順に従って、今すぐTurnstileのキーを発行し、Webサイトのセキュリティを強化しましょう。