プライベート ステート トークン

実装ステータス

プライベート ステート トークンとは

   

プライベート ステート トークンを使用すると、ユーザーの信頼性に対する信頼をあるコンテキストから別のコンテキストに伝えることができます。これにより、サイトはパッシブ トラッキングなしで不正行為に対処し、bot と人間を区別できます。

  • カード発行会社のウェブサイトは、ユーザーのウェブブラウザに対してトークンを発行できます。ユーザーは、アカウントの継続的な使用、トランザクションの完了、許容可能な reCAPTCHA スコアの取得などによって、信頼できることを示すことができます。
  • 利用者のウェブサイトは、利用者が信頼するカード発行会社のトークンを持っているかどうかを確認し、必要に応じてトークンを利用することで、ユーザーが虚偽ではないかどうかを確認できます。

プライベート ステート トークンは暗号化されているため、個人を特定することはできません。また、信頼できるインスタンスと信頼できないインスタンスを接続してユーザー ID を検出することもできません。

プライベート ステート トークンが必要な理由

ウェブには、ユーザーが本人であることを示す信頼シグナルを確立して伝達する方法が必要です。また、人間になりすましたり、悪意のある第三者になりすまして実在の人物やサービスを欺いたりする bot ではありません。不正行為からの保護は、広告主、広告プロバイダ、CDN にとって特に重要です。

残念ながら、サイトとのやり取りが実際の人間によるものかどうかを調べるなど、信頼度を測定して反映させる既存のメカニズムの多くでは、フィンガープリントにも使用できる手法が活用されています。信頼を伝えるメカニズムではプライバシーを保護し、個々のユーザーをトラッキングすることなくサイト間で信頼を伝播できるようにする必要があります。

Private State Token API を使用すると、ウェブサイトは、信頼できるユーザーに暗号トークンを発行できます。そのトークンは後で別の場所で使用できます。トークンはユーザーのブラウザによって安全に保存され、その後他のコンテキストで使用されユーザーの真正性を確認できます。これにより、ユーザーを特定したり、サイト間で ID をリンクしたりすることなく、あるウェブサイト(ソーシャル メディア サイトやメールサービスなど)上のユーザーの信頼を別のウェブサイト(パブリッシャーやオンライン ショップなど)に伝えることができます。

プライベート ステート トークンの仕組み

この例では、パブリッシャーの Web サイトでは、広告を表示する前に、ユーザーがボットではなく実際の人間であるかどうかをチェックしたいと考えています。

  1. ユーザーがウェブサイト(カード発行会社と呼ばれる)にアクセスし、ユーザーが実際の人間であると信じ込ませるアクション(購入、メール アカウントの使用、reCAPTCHA の完了など)を実行します。
  2. カード発行会社のサイトは、Private State Token JavaScript API を使用して、ユーザーのブラウザのトラスト トークンのリクエストをトリガーします。
  3. 発行元のサイトはトークンデータで応答します。
  4. トラスト トークンのデータは、ユーザーのブラウザで安全に保存されます。
  5. ユーザーが別のウェブサイト(ニュース メディアなど)を訪問し、ユーザーが実在のユーザーかどうかを確認したい(広告の表示時など)。
  6. サイトでは、Private State Token API を使用して、サイトが信頼するカード発行会社のトラスト トークンがユーザーのブラウザに保存されているかどうかを確認します。
  7. ユーザーが以前にアクセスした発行者のプライベート ステート トークンが検出されます。
  8. パブリッシャーのサイトが、トラスト トークンの利用をカード発行会社にリクエストします。
  9. 発行元のサイトから応答レコードが返されます。
  10. パブリッシャー サイトが、ユーザーが実在の人間であるとカード発行会社から信頼されていることを示すために、クーポンレコードを含むリクエストを広告プラットフォームに送信します。
  11. 広告プラットフォームは、広告の表示に必要なデータを提供します。
  12. パブリッシャー サイトで広告が表示されます。
  13. 広告ビューのインプレッションがカウントされます。

プライベート ステート トークン用のツールは用意されていますか?

Chrome DevTools で、[Network] タブと [Application] タブで検査を有効にします。詳細については、この DevTools の統合プライベート ステート トークンをご覧ください。

ウェブサイトは複数の信頼できるカード発行会社のトークンをどのように処理しますか?

サイトでは、一度に 1 つのカード発行会社で document.hasTrustToken() を使用して、ユーザーのブラウザで有効なトークンを確認できます。これが true を返し、トークンが利用可能な場合、サイトはトークンを利用できるようにして、他のトークンを探すことを止めることができます。

ウェブサイトでは、どのトークン発行者をどのような順序でチェックするかを決定する必要があります。

ユースケース

プライベート ステート トークン(PST)は、さまざまな不正防止のユースケースをサポートします。PST は、API が情報をエンコードできるため、コンテキストから別のコンテキストに信頼を伝えることができるため、PST は追加の信頼シグナルとして機能します。Google は、サードパーティ Cookie の廃止に伴い、以下のようなユースケースが引き続き必要に応じて機能できるようにすることが必要であることを認識しています。PST のすべてのユースケースでは、カード発行会社とクーポン利用者の両方が連携する必要があります。次のようなユースケースがある場合は、PST の使用を検討してください。

  • 不正行為防止サービス: 不正行為の防止はウェブのサポートすべき正当なユースケースですが、ユーザーごとの安定したグローバル ID を必要とすべきではありません。サードパーティのコンテキストでは、PST を使用してユーザーを信頼できるグループと信頼できないグループに分類できます。
  • 広告の不正行為の分析: PST は、広告テクノロジー サービスにおける不正なクリック、インプレッション、bot スキームの分析に役立ちます。
  • bot の検出: ブラウザが bot であるかどうかについて分析を実行した後、PST を使用して情報をエンコードし、コンテキスト間で共有することができます。
  • 安全な支払い: 第三者のコンテキストでは特定が困難な情報(カードなど)が限られた情報で特定が困難な脅威を検出するために、PST を信頼を伝える追加のシグナルとして使用できます。
  • e コマースにおける不正使用対策サービス: ページのスクレイピングや人間に由来しない操作を回避するために、e コマース インタラクション(クリック、購入手続き、購入、商品評価、chat bot、返品)から bot を検出することは非常に重要です。これは、e コマース プラットフォームでサードパーティの不正防止プロバイダの自動エージェントを検出するための重要な追加シグナルです。
  • CDN サービス: PST は、不正なトラフィックの報告と検出を支援するメカニズムを提供します。

このユースケースのリストは、プライベート ステート トークンの恩恵を受ける可能性のあるすべての不正行為対策機能を網羅したものではありません。また、このリストは相互に排他的なものではなく、PST は複数の不正防止ワークフローに役立つ可能性があります。

ユーザー ジャーニー

プライベート ステート トークンの重要な要素は、発行と利用です。前述のユースケースは PST がサポートされる主要な領域ですが、特定のユーザー ジャーニーでは、トークンの発行または利用を実際に行う次の場面を考慮してください。

  • アカウント管理フロー(ログイン、登録、パスワードの再設定など)中にトークンを発行する
  • 多要素認証(MFA)の確認後にトークンを発行する
  • 支払い履歴の削除など、リスクの高い操作を行った後にトークンを発行する
  • 中リスクのアクションの前にクロスサイト確認用にトークンを交換する
  • リスクの高いアクションの前にクロスサイト確認用にトークンを交換する

フィードバックを共有

補足説明