Google Chrome SameSite cookie ポリシー

Googleは、2020年初頭にリリースされる予定の Chrome 80 以降のユーザーに対し、デフォルトで新しい Cookie ポリシーの適用を開始します。 この記事では、新しいSameSite Cookie ポリシーについて知っておくべきすべての情報、これらのポリシーをAdobe Targetがどのようにサポートしているか、およびTargetを使用してGoogle Chromeの新しいSameSite Cookie ポリシーに準拠する方法について説明します。

Chrome 80 以降、web 開発者は、web サイトをまたいで機能する cookie を明示的に指定する必要があります。 これは、Googleが web 上のプライバシーとセキュリティを改善するために予定している、多くのお知らせの一つ目です。

Facebook がプライバシーとセキュリティに関して苦境に立っている事実を踏まえ、Apple に加え、Google など他の主要企業は、迅速にこの機会を利用して、プライバシーとセキュリティのリーダーとしての新しい地位を確立しました。 Appleは、今年の初めにITP 2.1と最近のITP 2.2を通じてCookie ポリシーの変更を最初に発表しました。 ITP 2.1では、AppleはサードパーティのCookieを完全にブロックし、作成されたCookieをわずか7日間ブラウザに保持します。 ITP 2.2 では、Cookie は 1 日のみ保持されます。 Googleの発表はAppleほど積極的ではないが、同じ最終目標に向けた第一歩である。 Apple の方針について詳しくは、 Apple インテリジェント・トラッキング防止機能（ITP）2.x を参照してください。

Cookie とは何ですか？また、Cookie の使用方法も教えてください。

GoogleにおけるCookie ポリシーの変更について説明する前に、Cookieとは何か、どのように使用されるかについて説明します。 簡単に言えば、cookie とは、ユーザー属性を記憶するために使用される、web ブラウザーに保存される小さなテキストファイルです。

Cookieは、webを閲覧する利用者の体験を向上させるために重要です。 例えば、コマースサイトで買い物をしていて、カートに商品を追加したものの、その訪問でログインや購入をおこなわなかった場合、Cookieは商品を記憶し、次回の訪問のためにカートに入れます。 あるいは、お気に入りのソーシャルメディア web サイトを訪問するたびに、ユーザー名とパスワードを再入力する必要がある場合を考えてみてください。 Cookie は、サイトが自分を識別するのに役立つ情報を保存するので、この問題も解決します。 この種の cookie は、訪問した web サイトで作成および使用されるので、ファーストパーティ Cookie と呼ばれます。

また、サードパーティ Cookie も存在します。 ターゲットオーディエンスをより深く理解するために、次の例を考えてみましょう。

例えば、「Friends」という架空のソーシャルメディア企業が、「共有」ボタンを提供して、他のサイトがFriends ユーザーがFriends フィードでサイトのコンテンツを共有できるようにするとします。 ユーザーは、「共有」ボタンを使用しているニュースサイトでニュース記事を読み、それをクリックして自動的に「友達」アカウントに投稿します。

これを実現するために、ブラウザーはニュース記事が読み込まれたときに platform.friends.com から「友達と共有」ボタンを取得します。 このプロセスでは、ブラウザーは、ユーザーのログイン資格情報を含む Friends Cookie を Friends サーバーにリクエストに添付します。 これにより、ユーザーがログインすることなく、ユーザーの代わりにニュース記事をフィードに投稿することができます。

これはすべて、サードパーティ Cookie を使用することで可能になります。 この場合、サードパーティ Cookieはplatform.friends.comのブラウザーに保存されるため、platform.friends.comはユーザーの代わりにFriends アプリで投稿を行うことができます。

サードパーティ Cookie を使用せずにこの使用例を実現する方法を考えた場合、ユーザーは手動で多くの手順を実行する必要があります。 まず、ユーザーはニュース記事へのリンクをコピーする必要があります。 次に、ユーザーは別々に Friends アプリにログインする必要があります。 次に、「投稿を作成」ボタンをクリックします。 その後、ユーザーはテキストフィールドにリンクをコピーして貼り付け、最後に「投稿」をクリックします。 ご覧のように、サードパーティ Cookie は手動の手順を大幅に減らすことができるので、ユーザーエクスペリエンスを非常に助けます。

より一般的には、サードパーティ Cookieは、利用者がweb サイトに明示的にアクセスすることなく、利用者のブラウザーにデータを保存することを可能にします。

セキュリティ上の問題

Cookie はユーザーエクスペリエンスと強力な広告を強化しますが、クロスサイトリクエストフォージェリー（CSRF）攻撃などのセキュリティの脆弱性の原因となる可能性もあります。 例えば、ユーザーが銀行サイトにログインしてクレジットカードの請求を支払い、ログアウトせずにサイトを離れ、同じセッションで悪意のあるサイトを閲覧すると、CSRF 攻撃が発生する可能性があります。 悪意のあるサイトには、ページの読み込み時に実行されるバンキングサイトに対して要求を行うコードが含まれている場合があります。 ユーザーはまだ銀行サイトに認証されているため、セッション Cookieを使用してCSRF攻撃を開始し、ユーザーの銀行口座からの送金イベントを開始できます。 これは、サイトを訪問するたびに、HTTP リクエストにすべての Cookie が添付されるからです。 これらのセキュリティ上の問題のため、Google では現在、これらの問題を軽減しようとしています。

Target ではどのように Cookie を使用しますか？

それでは、TargetがCookieを使用する方法を見てみましょう。 Target を使用するには、まずサイトに Target JavaScript ライブラリをインストールする必要があります。 これにより、ファーストパーティ Cookie をサイトの訪問者のブラウザーに配置できます。 ユーザーがweb サイトを操作する際に、ユーザーの行動データと興味データをJavaScript ライブラリを通じてTargetに渡すことができます。 Target JavaScript ライブラリは、ユーザーの行動データと興味データにマッピングするために、ユーザーに関する識別情報を抽出するためにファーストパーティ Cookieを使用します。 このデータは、Target がパーソナライゼーションアクティビティの強化に使用します。

Target も（場合によっては）サードパーティ Cookie を使用します。 異なるドメインに存在する複数の web サイトを所有し、それらの web サイトをまたいでユーザージャーニーを追跡する場合、クロスドメイントラッキングを活用してサードパーティ Cookie を使用できます。 Target JavaScript ライブラリでクロスドメイントラッキングを有効にすると、お使いのアカウントはサードパーティ Cookie の使用を開始します。 ユーザーがあるドメインから別のドメインに移動すると、ブラウザーはTargetのバックエンドサーバーと通信し、このプロセスでサードパーティ Cookieが作成され、ユーザーのブラウザーに配置されます。 Targetは、ユーザーのブラウザーにあるサードパーティ Cookieを使用して、1人のユーザーに対して、異なるドメインにわたって一貫性のあるエクスペリエンスを提供できます。

Googleの新しいCookie レシピ

Googleでは、ユーザーを保護するために、サイト間で Cookie が送信される際の保護を提供するため、Set-Cookie ヘッダーの SameSite 属性コンポーネントで cookie を管理する必要がある、SameSite と呼ばれる IETF 標準のサポートを追加する予定です。

Strict、Lax または None の 3 つの異なる値を SameSite 属性に渡すことができます。

上記を念頭に置いて、Chrome 80（およびそれ以降）では、「SameSite by default cookies」と「Cookies without SameSite must be secure」の 2 つの独立した設定が導入されます。 Chrome 80 では、これらの設定がデフォルトで有効になります。

TargetはGoogleのセキュリティのベストプラクティスに従います

Adobeでは、セキュリティとプライバシーに関する業界の最新ベストプラクティスを常にサポートしたいと考えています。 そこで、Target は、Google で導入された新しいセキュリティとプライバシーの設定をサポートします。

「SameSite by default cookies」設定の場合、Target は引き続きパーソナライゼーションを配信し、ユーザーに影響は与えず、ユーザーによる介入も不要です。 Target Google Chrome によってフラグ SameSite = Lax が適用されるので、 はファーストパーティ cookie を使用し、引き続き適切に機能します。

「SameSiteのないCookieは安全である必要があります」オプションの場合、Targetのクロスドメイントラッキング機能をオプトインしない場合、Targetのファーストパーティ Cookieは引き続き機能します。

ただし、複数のドメインをまたいで Target を活用するクロスドメイントラッキングの使用をオプトインしている場合、Chrome （およびそれ以降）でサードパーティ cookie で使用するには SameSite = None およびセキュアフラグが必要です。 これは、サイトで HTTPS プロトコルを使用する必要があるということを意味します。 Target のクライアントサイドライブラリは自動的に HTTPS プロトコルを使用し、Target のサードパーティ cookie に SameSite = None およびセキュアフラグを追加して、すべてのアクティビティが引き続き配信されるようにします。

必要なアクション

Target が Google Chrome 80 以降のユーザーに対しても引き続き動作するために必要な手順を理解するには、以下の表を参照してください。次の列が表示されます。

Target で必要な手順は何ですか？

新しいGoogle Chrome 80 以降の SameSite cookie ポリシーに準拠するには、プラットフォームで必要な手順は何でしたか？

HTTPS プロトコルの使用に移行しない場合、どのような影響がありますか？

影響を与える唯一のユースケースは、Targetからat.js 1.x​のクロスドメイントラッキング機能を使用している場合です。 当社が使用するサードパーティ Cookie は Google によって破棄されるので、Google の要件である HTTPS に移行しない場合は、ドメインをまたいだユニーク訪問者数が急増します。 また、サードパーティ Cookie は破棄されるので、Target は、ユーザーがドメイン間を移動すると、そのユーザーに対して一貫性のあるパーソナライズされたエクスペリエンスを提供できなくなります。 サードパーティ Cookie は、主に、所有するドメインをまたいで移動する 1 人のユーザーを識別するために使用されます。

まとめ

Adobeは、業界において、より安全なweb サイトの構築に取り組むようになり、エンドユーザーのセキュリティとプライバシーを確保しながら、パーソナライズされた体験を提供できるよう、お客様を全力で支援します。 必要な操作は、前述のベストプラクティスに従い、Targetを活用してGoogle Chromeの新しいSameSite Cookie ポリシーに準拠することだけです。