Google Chrome SameSite cookie ポリシー
Googleは、2020年初頭にリリースされる予定の Chrome 80 以降のユーザーに対し、デフォルトで新しい Cookie ポリシーの適用を開始します。この記事では、新しい SameSite cookie ポリシーに関して知っておく必要のあるすべての情報と、これらのポリシーを Adobe Target がどのようにサポートしているか、Target を使用してGoogle Chromeの新しい SameSite cookie ポリシーに準拠する方法について説明します。
Chrome 80 以降、web 開発者は、web サイトをまたいで機能する cookie を明示的に指定する必要があります。これは、Googleが web 上のプライバシーとセキュリティを改善するために予定している、多くのお知らせの一つ目です。
Facebook がプライバシーとセキュリティに関して苦境に立っている事実を踏まえ、Apple に加え、Google など他の主要企業は、迅速にこの機会を利用して、プライバシーとセキュリティのリーダーとしての新しい地位を確立しました。Apple は先陣を切り、今年初めの ITP 2.1 や最近の ITP 2.2 を通じて Cookie ポリシーの変更を発表しました。ITP 2.1 では、Apple はサードパーティ Cookie を完全にブロックし、ブラウザーで作成された Cookie を 7 日間のみに保持します。ITP 2.2 では、Cookie は 1 日のみ保持されます。Googleの発表は、Appleの発表ほど積極的ではありませんが、これは同じ目標の達成に向けた第一歩です。 Apple の方針について詳しくは、 Apple インテリジェント・トラッキング防止機能(ITP)2.x を参照してください。
Cookie とは何ですか?また、Cookie の使用方法も教えてください。
Googleの cookie ポリシーに対する変更に取り組む前に、cookie の概要と使用方法について説明します。 簡単に言えば、cookie とは、ユーザー属性を記憶するために使用される、web ブラウザーに保存される小さなテキストファイルです。
Cookie は、web 閲覧時のユーザーエクスペリエンスを向上させる重要な要素です。 例えば、e コマース web サイトで買い物をしていて、買い物かごに何かを追加したけれど、その訪問でログインや購入を行わなかった場合、cookie はそのアイテムを記憶し、次回の訪問に備えてそのアイテムを買い物かごに入れたままにしておきます。 あるいは、お気に入りのソーシャルメディア web サイトを訪問するたびに、ユーザー名とパスワードを再入力する必要がある場合を考えてみてください。Cookie は、サイトが自分を識別するのに役立つ情報を保存するので、この問題も解決します。この種の cookie は、訪問した web サイトで作成および使用されるので、ファーストパーティ Cookie と呼ばれます。
また、サードパーティ Cookie も存在します。これらをよりよく理解するために、次の例を考えてみましょう。
例えば、「Friends」と呼ばれる仮のソーシャルメディア会社が「共有」ボタンを提供し、他のサイトが実装して、Friends ユーザーが Friends フィードでサイトのコンテンツを共有できるようにするとします。 ユーザーは、「共有」ボタンを使用しているニュース web サイトのニュース記事を読み、それをクリックして、自分の友達アカウントに自動的に投稿します。
これを実現するために、ブラウザーはニュース記事が読み込まれたときに platform.friends.com
から「友達と共有」ボタンを取得します。このプロセスでは、ブラウザーは、ユーザーのログイン資格情報を含む Friends Cookie を Friends サーバーにリクエストに添付します。これにより、Friends は、ユーザーがログインしなくても、そのユーザーに代わってフィードにニュース記事を投稿できます。
これはすべて、サードパーティ Cookie を使用することで可能になります。この場合、サードパーティ Cookie は platform.friends.com
用にブラウザーに保存され platform.friends.com
ので、ユーザーに代わって Friends アプリで投稿を作成できます。
サードパーティ Cookie を使用せずにこの使用例を実現する方法を考えた場合、ユーザーは手動で多くの手順を実行する必要があります。まず、ユーザーはニュース記事へのリンクをコピーする必要があります。次に、ユーザーは別々に Friends アプリにログインする必要があります。次に、「投稿を作成」ボタンをクリックします。その後、ユーザーはテキストフィールドにリンクをコピーして貼り付け、最後に「投稿」をクリックします。ご覧のように、サードパーティ Cookie は手動の手順を大幅に減らすことができるので、ユーザーエクスペリエンスを非常に助けます。
より一般的には、サードパーティ cookie を使用すると、ユーザーが web サイトに明示的にアクセスしなくても、ユーザーのブラウザーにデータを保存できます。
セキュリティ上の問題
Cookie はユーザーエクスペリエンスと強力な広告を強化しますが、クロスサイトリクエストフォージェリー(CSRF)攻撃などのセキュリティの脆弱性の原因となる可能性もあります。例えば、ユーザーが銀行サイトにログインしてクレジットカードの請求を支払い、ログアウトせずにサイトを離れ、同じセッションで悪意のあるサイトを閲覧すると、CSRF 攻撃が発生する可能性があります。悪意のあるサイトには、ページの読み込み時に実行されるバンキングサイトに対して要求を行うコードが含まれている場合があります。ユーザーは依然としてバンキングサイトに対して認証されているので、セッション Cookie を使用して CSRF 攻撃を開始し、ユーザーの銀行口座から資金移動イベントを開始することができます。 これは、サイトを訪問するたびに、HTTP リクエストにすべての Cookie が添付されるからです。これらのセキュリティ上の問題のため、Google では現在、これらの問題を軽減しようとしています。
Target ではどのように Cookie を使用しますか?
では、Target による Cookie の取り扱いについて説明します。 Target を使用するには、まずサイトに Target JavaScript ライブラリをインストールする必要があります。これにより、ファーストパーティ Cookie をサイトの訪問者のブラウザーに配置できます。ユーザーが web サイトを操作すると、ユーザーの行動と興味のデータをJavaScript ライブラリを通じて Target に渡すことができます。 Target JavaScript ライブラリは、ファーストパーティ cookie を使用して、ユーザーに関する識別情報を抽出し、ユーザーの行動と興味データにマッピングします。 このデータは、Target がパーソナライゼーションアクティビティの強化に使用します。
Target も(場合によっては)サードパーティ Cookie を使用します。異なるドメインに存在する複数の web サイトを所有し、それらの web サイトをまたいでユーザージャーニーを追跡する場合、クロスドメイントラッキングを活用してサードパーティ Cookie を使用できます。Target JavaScript ライブラリでクロスドメイントラッキングを有効にすると、お使いのアカウントはサードパーティ Cookie の使用を開始します。ユーザーがドメイン間を移動すると、ブラウザーは、Target のバックエンドサーバーと通信し、この処理で、サードパーティ Cookie が作成され、ユーザーのブラウザーに配置されます。 ユーザーのブラウザーに存在するサードパーティ Cookie を通じて、Target は、1 人のユーザーに対して、異なるドメイン間で一貫したエクスペリエンスを提供できます。
Googleの新しい cookie 使用
Googleでは、ユーザーを保護するために、サイト間で Cookie が送信される際の保護を提供するため、Set-Cookie ヘッダーの SameSite 属性コンポーネントで cookie を管理する必要がある、SameSite と呼ばれる IETF 標準のサポートを追加する予定です。
Strict、Lax または None の 3 つの異なる値を SameSite 属性に渡すことができます。
HTTP GET
など)に対してのみ送信されます。したがって、このオプションは、サードパーティが Cookie を利用可能な場合に使用されますが、CSRF 攻撃による被害からユーザーを保護するというセキュリティ上の利点もあります。上記を念頭に置いて、Chrome 80(およびそれ以降)では、「SameSite by default cookies」と「Cookies without SameSite must be secure」の 2 つの独立した設定が導入されます。Chrome 80 では、これらの設定がデフォルトで有効になります。
- SameSite by default cookies:設定すると、SameSite 属性を指定しないすべての cookie が自動的に
SameSite = Lax
を使用するようになります。 - Cookies without SameSite must be secure:SameSite 属性のない cookie、または
SameSite = None
セキュアである必要があります。セキュアとは、このコンテキストでは、すべてのブラウザーリクエストが HTTPS プロトコルに従う必要があることを意味します。この要件に準拠しない cookie は拒否されます。この要件を満たすには、すべての web サイトで HTTPS を使用する必要があります。
GoogleTarget セキュリティのベストプラクティスに従う
Adobeでは、常にセキュリティとプライバシーに関する業界の最新のベストプラクティスをサポートしたいと考えています。 そこで、Target は、Google で導入された新しいセキュリティとプライバシーの設定をサポートします。
「SameSite by default cookies」設定の場合、Target は引き続きパーソナライゼーションを配信し、ユーザーに影響は与えず、ユーザーによる介入も不要です。Target Google Chrome によってフラグ SameSite = Lax
が適用されるので、 はファーストパーティ cookie を使用し、引き続き適切に機能します。
「Cookies without SameSite must be secure」オプションでは、Target のクロスドメイントラッキング機能をオプトインしない場合、Target のファーストパーティ cookie は引き続き機能します。
ただし、複数のドメインをまたいで Target を活用するクロスドメイントラッキングの使用をオプトインしている場合、Chrome (およびそれ以降)でサードパーティ cookie で使用するには SameSite = None
およびセキュアフラグが必要です。これは、サイトで HTTPS プロトコルを使用する必要があるということを意味します。Target のクライアントサイドライブラリは自動的に HTTPS プロトコルを使用し、Target のサードパーティ cookie に SameSite = None
およびセキュアフラグを追加して、すべてのアクティビティが引き続き配信されるようにします。
必要なアクション
Target が Google Chrome 80 以降のユーザーに対しても引き続き動作するために必要な手順を理解するには、以下の表を参照してください。次の列が表示されます。
- Target JavaScript ライブラリ:サイトで at.js 1.x または at.js 2.x を使用している場合。
- SameSite by default cookies = 有効:訪問者が「SameSite by default cookies」を有効にしている場合、どれくらい影響を及ぼすか、および Target を引き続き機能させるためにすべきことがあるか。
- Cookies without SameSite must be secure = 有効:訪問者が「Cookies without SameSite must be secure」を有効にしている場合、どれくらい影響を及ぼすか、および Target を引き続き機能させるためにすべきことがあるか。
Target はサードパーティ cookie を使用してユーザーを追跡し、Googleでは、サードパーティ cookie に対して
SameSite = None
およびセキュアフラグの設定を要求しています。 Secure フラグを使用するには、サイトで HTTPS プロトコルを使用する必要があります。Target で必要な手順は何ですか?
新しいGoogle Chrome 80 以降の SameSite cookie ポリシーに準拠するには、プラットフォームで必要な手順は何でしたか?
HTTPS プロトコルの使用に移行しない場合、どのような影響がありますか?
影響を受ける唯一の使用例は、Target で、at.js 1.x を通じてクロスドメイントラッキングを使用している場合です。当社が使用するサードパーティ Cookie は Google によって破棄されるので、Google の要件である HTTPS に移行しない場合は、ドメインをまたいだユニーク訪問者数が急増します。また、サードパーティ Cookie は破棄されるので、Target は、ユーザーがドメイン間を移動すると、そのユーザーに対して一貫性のあるパーソナライズされたエクスペリエンスを提供できなくなります。サードパーティ Cookie は、主に、所有するドメインをまたいで移動する 1 人のユーザーを識別するために使用されます。
まとめ
業界は、コンシューマー向けにより安全な web を作成する方向に進んでいます。Adobeは、エンドユーザーに対してセキュリティとプライバシーを確保する方法で、お客様がパーソナライズされたエクスペリエンスを提供するのを支援することに全力で取り組んでいます。 必要な手順は、Google Chromeの新しい SameSite cookie ポリシーに準拠するため、前述のベストプラクティスに従い、Target を活用するだけです。