ITP2.2(Intelligent Tracking Prevention)とその影響について
--
アクセルマーク システム開発本部の佐野です。
Apple社の公式発表で、iOS12.3 / macOS10.14.5 Mojaveからのバージョンで、Safariブラウザにて、ITP2.2にアップデートされると発表がありました。
つい先日、3月26日に、ITP2.1がリリースされましたが、
1ヶ月も経たないうちに、ITP2.2が発表されました。
非常に早いスピードで、ITPがアップデートされていますね。
ちなみに、ITP2.1のアップデート時は、以下の内容が更新されました。
・ javascriptが扱えるcookieは、7日間までになる。
・トラッキング判断された3rd party cookieは、すぐ無効化される。
・トラッキング拒否機能(DNT)を削除する。
参照
“Intelligent Tracking Prevention 2.1”.WebKit.
https://webkit.org/blog/8613/intelligent-tracking-prevention-2-1/ ,
(2019–05–07).
今回は、発表されたITP2.2についてまとめましたので、最後までお読みいただけると嬉しいです。
ITPとは
Intelligent Tracking Prevention(ITP)とは、 クロスサイトトラッキングの抑止によるユーザのプライバシー保護を目的 として、2017年6月にApple社が発表した機能です。
その旨は、公式ページにも記載されています。
Intelligent Tracking Prevention was designed to protect user privacy by preventing cross-site tracking.(https://webkit.org/blog/8828/intelligent-tracking-prevention-2-2/)
クロスサイトトラッキングの抑制をベースとし、cookieの利用を制限して、意図しない追跡からユーザーを保護するというトラッキング防止機能になっております。また、クロスサイトトラッキングの能力があるかはデバイスで収集したデータの統計に基づいて機械学習により判定しているようです。
この機能により、クロスサイトトラッキングをcookie利用している多くのサービスは影響を受けており、特にどこの広告系サービスでも実装されているようなコンバージョン計測やリターゲティング機能は、ITP対応に迫られています。
ITP2.2について
今回のアップデートで特に注目するべきポイントは、
cookieの有効期限が、7日から1日に短縮される点です。
ITP2.1では、クライアントjavascriptから発行したcookieの有効期限が7日に制限されるように変更がかかりましたが、今回のアップデートで、この期間がさらに短くなってしまいました。
Tracking Via Link Decoration Caps Client-Side Cookies to 1 Day of Storage(https://webkit.org/blog/8828/intelligent-tracking-prevention-2-2/)
もう少し詳しく説明すると、以下の条件に全て該当した場合、
cookieの有効期間は1日に短縮されることになります。
・広告やクリックリンク等で、クロスサイトトラッキング機能があるドメインと判断されたドメインAからドメインBにユーザを誘導させた。
・ドメインBに誘導させた最後のURLに、URLパラメータやフラグメント識別子が含まれている。
e.g.) URLパラメータ> https://news.example.co.jp?clickid=xxxxxxx
e.g.) フラグメント識別子> https://news.example.co.jp#xxxxxxx
上記条件を満たした場合、ドメインB内に埋め込まれたjavascriptで、URLパラメータやフラグメント識別子を取得して、cookieに保存したとしても、保存したcookieは1日で削除されてしまいます。
クロスサイトトラッキングについて
ちなみに、ITPの仕組みを把握しておく上で、クロスサイトトラッキングというワードはマストで理解しておかないといけないため、念のため、簡単に解説しておきます。
クロスサイトトラッキングを簡単に説明すると、
複数ドメイン間でユーザ情報を紐付けて管理していることを指してます。
実際にクロストラッキング利用されているシーンとしては、以下を思い浮かべると分かりやすいのではないでしょうか。
・別サイトで購入(通販サイトの商品ページと決済ページが異なっているサイトで商品を購入している)
・アクセス解析ツール(運営しているサイト内のユーザ行動を分析している)
・広告出稿(広告クリック経由で訪問したサイトで発生したCV件数を測定する、サイトに訪問していたユーザに対して再度広告を配信する)
このように、ドメイン間でユーザ情報の引き継ぎがされていれば、アクセス解析ではデータを収集することができ、計測情報をデータ分析に活用できますし、広告出稿時の効果測定ではコンバージョンを計測することができ、またドメイン間で決済処理が異なっていたとしても、測定することが可能です。しかしながら、ITPの導入によって、このようなクロスサイトトラッキングができなくなりつつあります。
ITPの根本的な考えとしては、ユーザに不便を与えることのないラインで制限を入れることで、プライバシーの保護を実現していこうという方向性のようです。
これまでのITPアップデートについて
ITP1.0(リリース日: 2017.09)
・3rd party cookieの抑制
24時間以内にインタラクション無:無効になる。
24時間以内にインタラクション有:30日間保有する。
30日保有していたがインタラクション無:削除される。
30日保有及びインタラクション有、その後、24時間以内にインタラクション無:パーティション化した上で保有し利用もできるがトラッキング判定対象になる。
・safariのデフォルト設定項目の追加
デフォルトで「サイト超えトラッキングを防ぐ」がONになる。
ITP1.1(リリース日: 2018.03)
・3rd party cookieの抑制
パーティション化されたcookieのセッションcookie化する。
※過去インタラクションがあったとしても、付与24時間以内にインタラクションがないものは無効になる。ただし、Storage Access APIを使えば利用可能。
ITP2.0(リリース日: 2018.09)
・3rd party cookieの抑制
インタラクションのないcookieは、パーティション化され利用できなくなる。ただし、Storage Access APIを使えば利用可能。
・リダイレクトを利用した1st party cookieの抑制
4つのドメイン以上からリダイレクトを用いて、1st party cookieとして付与したcookie(その後のページで3rd party cookieとして呼び出し使用することが多い) はトラッキングとして判定され無効となる。
・トラッカーに対するリファラ抑制
トラッカー判定されたリクエストのリファラから、ドメイン以外を削除する。(e.g. http://example.com/test/test.html → http://example.com)
ITP2.1(リリース日: 2019.03)
・1st party cookieの抑制
最大有効期限が7日となる。
・3rd party cookieの抑制
cookieのパーティション化を無くし、単純な無効化に変更 (内部的な処理方法の変更なだけでどちらにせよ使用不可)。 ただし、Storage Access APIを使えば利用可能。
※「主な内容」には影響の大きいものだけ載せています。
詳しくは、webkit blogを確認してください。
まとめ
ITP2.1は、Safariブラウザにおける1st party cookieの有効期間が7日間に制限されるもので、広告効果測定においても、ユーザのweb上の行動が7日間を超える場合のトラッキングはできなくなりました。
そして今回、ITP2.2の発表があり、有効期間が7日から1日に変わりました。個人的な見解ではありますが、ゆくゆくは即時削除もあり得る流れなのかなと考えております。
弊社でも、ADrouteやTRADING DESKを中心に、広告事業を展開しているため、ITPの影響を受けている中の1社だと認識しています。
特に、自社サービスとして展開しているADrouteでは、ITPの更新情報が出る度に、情報をキャッチアップし、影響を回避するための対策を講じていますが、今後も定期的なアップデートが予想されるため、今後も常に新しい情報をできる体制にしておこうと思います。
今回、ITPについて記載しましたが、詳しいことは、webkitブログのITP関連の記事をしっかり見るのがいいんじゃないかと思っています。あとは、ITPエンジニアのTwitterとかもたまに見ておいても良さそうです。
