Cookie の使用状況を監査する



ウェブブラウザではサードパーティ Cookie のサポートが終了しているため、ウェブサイトまたはサイトが利用しているサードパーティ サービスでサードパーティ Cookie が使用されているかどうかを確認する必要があります。

サードパーティ Cookie の使用状況を把握する

iframe やサブリソース リクエストなどのクロスサイト コンテキストで送信される Cookie は、サードパーティの Cookie でない場合でも、通常はサードパーティ Cookie と呼ばれます。サードパーティ Cookie は、アナリティクス サービスや広告テクノロジーなどのサードパーティから取得される場合もありますが、トップレベル ページとは異なるドメインを持つ独自のサイトまたはサービス(画像サーバーやマイクロサイトなど)から取得される場合もあります。

サードパーティ Cookie のユースケースには、次のようなものがあります。

  • 他のサイトから共有された埋め込みコンテンツ(動画、地図、コードサンプル、ソーシャル投稿など)。
  • 支払い、カレンダー、予約、予約などの外部サービス用のウィジェット。
  • ソーシャル ボタンや不正防止サービスなどのウィジェット。
  • リクエストと一緒に送信される Cookie に依存するリモート <img> リソースまたは <script> リソース(一般的に、ピクセルのトラッキングやコンテンツのパーソナライズに使用されます)。
サードパーティ Cookie を示す図。
サードパーティ Cookie の例

2019 年に各ブラウザで Cookie の動作が変更され、Cookie がデフォルトでファーストパーティ アクセスに制限されるようになりました。 現在、クロスサイト コンテキストで使用されている Cookie は、SameSite=None 属性を使用して設定する必要があります。

Set-Cookie: cookie-name=value; SameSite=None; Secure

つまり、サードパーティ Cookie は SameSite=None 属性で識別できます。

サードパーティ Cookie の使用状況を監査する

SameSite Cookie 属性を None に設定したインスタンスはコード内で検索してください。2020 年頃に Cookie に SameSite=None を追加した場合、その変更は出発点として適しています。

SameSite=None とマークされた Cookie がクロスサイト コンテキストで使用されていないと思われる場合、他の場所でクロスサイト コンテキストで使用されている可能性があるため、意図的なものかどうかを確認してください。そうしないと、SameSite=None が誤って設定されている可能性があるため、不要な SameSite=None の使用を削除する必要があります。

パーティション化された CookiePartitioned 属性で設定されたもの)は、この属性をサポートするブラウザでサードパーティ Cookie のサポートが終了した後も引き続き配信されます。

Chrome DevTools

Chrome DevTools の [Network] パネルには、リクエストで設定され、送信された Cookie が表示されます。[Application] パネルの [Storage] の下に [Cookies] という見出しがあります。ページの読み込みの一環としてアクセスした各サイトに保存されている Cookie を参照できます。SameSite 列を基準に並べ替えると、None 個の Cookie をすべてグループ化できます。

DevTools の [Issues] タブに、SameSite=None Cookie に関する警告が表示される。
DevTools の [Issues] タブ

Chrome 118 以降では、DevTools の [問題] タブに、「クロスサイトのコンテキストで送信された Cookie は、今後の Chrome バージョンではブロックされます」という互換性を破る変更の問題が表示されます。この問題には、現在のページで影響を受けた可能性のある Cookie が表示されます。

プライバシー サンドボックス分析ツール

また、Privacy Sandbox Analysis Tool(PSAT)も開発しました。これは DevTools の拡張機能で、ブラウジング セッション中の Cookie 使用の分析を容易にします。これにより、Cookie とプライバシー サンドボックス機能のデバッグ経路と、プライバシー サンドボックス イニシアチブについて詳しく学ぶためのアクセス ポイントが提供されます。

モーダルで使用されている Cookie の数と種類、およびその背後にある Cookie のリストとブロック理由を示す Privacy Sandbox Analysis Tool(PSAT)のスクリーンショット。
Privacy Sandbox Analysis Tool(PSAT)

この拡張機能は、サードパーティ Cookie のサポート終了と新しいプライバシー保護の代替手段の導入に関連するシナリオを分析、デバッグするための特別な機能で DevTools を補完します。

この拡張機能は Chrome ウェブストアからダウンロードするか、PSAT リポジトリと Wiki からアクセスできます。

サードパーティのサービス プロバイダに確認する

サードパーティによって設定された Cookie を特定している場合は、そのプロバイダにサードパーティ Cookie の段階的廃止の計画があるかどうかを確認する必要があります。たとえば、使用しているライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要があるかもしれません。必要な変更をサードパーティが自ら処理している場合は何もしない、などです。

ファーストパーティの Cookie を改善する

Cookie がサードパーティのサイトで使用されていない場合(たとえば、サイトでのセッションを管理するために Cookie を設定し、クロスサイト iframe で使用されない場合)は、明示的に Cookie を SameSite=Lax または SameSite=Strict としてマークする必要があります。ファーストパーティの Cookie に使用できる適切なデフォルト値もいくつかあります。詳しくは、ファーストパーティ Cookie のレシピをご覧ください。