集計サービスの概要

このサービスをデプロイして管理し、Attribution Reporting API または Private Aggregation API の概要レポートを生成します。

Attribution Reporting API または Private Aggregation API からの集計可能レポートを処理する集計サービスをデプロイして管理し、概要レポートを作成します。

実装ステータス

説明では、集計サービスを理解する際に役立つ主な用語の概要を説明します。

対象

建议 状态
Attribution Reporting API 和 Private Aggregation API 为 Amazon Web Services (AWS) 提供的汇总服务支持
说明
可用
Attribution Reporting API 和 Private Aggregation API 为 Google Cloud 提供的汇总服务支持
说明
推出 Beta 版
注册汇总服务网站以及将网站映射到云账号(AWS 或 GCP)
GitHub 上的常见问题解答
可用
汇总服务的 epsilon 值将保持在 64 这一范围内,以便于针对不同参数进行实验和提供反馈。
提交 ARA epsilon 反馈
提交 PAA epsilon 反馈
可用。在 epsilon 范围值更新之前,我们会提前向生态系统发出通知。
针对汇总服务查询更灵活的贡献过滤
说明
预计 2024 年第 2 季度
灾难恢复后的预算恢复流程(错误、配置错误等)
GitHub 问题
预计 2024 年第 2 季度
Accenture 是 AWS 的协调员之一
开发者博客
可用
担任 Google Cloud 协调员之一的独立方
开发者博客
预计 2024 年第 3 季度

安全なデータ処理

集計サービスは、集計可能レポートから収集されたデータを復号して結合し、ノイズを追加して、最終概要レポートを返します。このサービスは、このデータを保護するために必要なセキュリティ対策をサポートするクラウド サービスにデプロイされる高信頼実行環境(TEE)で実行されます。

TEE のコードは、集計サービス内で未加工のレポートにアクセスできる唯一の場所です。このコードは、セキュリティ研究者、プライバシー アドボケイト、広告テクノロジーによって監査されます。TEE が承認済みのソフトウェアを正確に実行していて、データが保護されていることを確認するために、コーディネーターは構成証明を実行します。

集計可能レポートは収集、バッチ処理され、TEE に送信されて最終的な概要レポートに変換されます。
集計可能レポートは、収集、バッチ処理されて、TEE で実行される集計サービスに送信されます。集計サービス環境は、データを収集する当事者が所有および運営します。

TEE のコーディネーター証明書

コーディネーターは、鍵の管理と集計可能レポートの会計を担うエンティティです。

コーディネーターには、次のような役割があります。

  • 承認済みのバイナリ イメージのリストを管理する。これらのイメージは、Google が定期的にリリースする集計サービス ソフトウェアのビルドの暗号ハッシュです。これは再現可能であり、すべての当事者がイメージが集計サービスのビルドと同一であることを確認できます。
  • 鍵管理システムを運用する。ユーザーのデバイス上の Chrome で集計可能レポートを暗号化するには、暗号鍵が必要です。復号鍵は、集計サービスのコードがバイナリ画像と一致することを証明するために必要です。
  • 集計可能レポートを追跡して、サマリー レポートの集計での再利用を防ぎます。再利用すると個人識別情報(PII)が漏洩する可能性があるためです。

「重複なし」ルール

攻撃者は、特定の集計可能レポートの内容を分析するために、レポートのコピーを複数作成し、それらのコピーを 1 つまたは複数のバッチに含める場合があります。このため、集計サービスは「重複なし」ルールを適用します。

  • バッチ: 集計可能レポートは、バッチ内に 1 回だけ表示できます。
  • バッチ間: 集計可能レポートを複数のバッチで表示することや、複数の概要レポートに含めることはできません。

これを行うために、ブラウザは各集計可能レポートに共有 ID を割り当てます。ブラウザは、API バージョン、レポート送信元、宛先サイト、ソース登録時間、スケジュールされたレポート時間などの複数のデータポイントから共有 ID を生成します。このデータはレポートの shared_info フィールドから取得されます。

集計サービスは、同じ共有 ID を持つすべての集計可能レポートが同じバッチ内にあることを確認し、共有 ID が処理されたことをコーディネーターに報告します。同じ ID で複数のバッチが作成された場合、集計に使用できるバッチは 1 つのみで、他のバッチは拒否されます。

デバッグ実行を実行する場合、バッチに「no duplicates」ルールは適用されません。つまり、デバッグ実行で以前のバッチのレポートが表示されることがあります。ただし、バッチ内では引き続きルールが適用されます。これにより、本番環境での将来の処理を制限することなく、サービスとさまざまなバッチ処理戦略を試すことができます。

ノイズとスケーリング

ユーザーのプライバシーを保護するため、集計サービスは、集計可能レポートの元データに加法ノイズ メカニズムを適用します。つまり、サマリー レポートに出力される前に、各集計値に一定量の統計ノイズが追加されます。

ノイズを追加する方法を直接制御することはできませんが、測定データに対するノイズの影響に影響を与えることができます。

ノイズは、集計値に関係なく一定です。

ノイズ値は、ラプラス確率分布からランダムに取得されます。この分布は、集計可能レポートで収集されるデータの量に関係なく同じになります。収集するデータが多いほど、ノイズがサマリー レポートの結果に与える影響は小さくなります。集計可能レポートデータにスケーリング ファクタを乗算すると、ノイズの影響を軽減できます。

ノイズの追加方法やコントロール、レポートへの影響については、ノイズの活用資金提供予算資金提供予算にスケールアップするをご覧ください。

概要レポートを生成する

概要レポートの生成は API の使用状況によって異なります。概要レポートの生成について詳しくは、Private Aggregation APIAttribution Reporting API をご覧ください。

集計サービスをテストする

テストする各 API の対応するガイドを読むことをおすすめします。

AWS で集計サービスをテストするには、こちらの手順をご覧ください。

Attribution Reporting と Private Aggregation API の集計可能レポートを処理するために、ローカルテストツールも使用できます。

Aggregation Service Load Testing Framework は、推奨されるテスト フレームワークを提供します。

交流とフィードバックの共有

集計サービスは、プライバシー サンドボックスの測定 API の重要な要素です。他のプライバシー サンドボックス API と同様に、GitHub でドキュメント化され、一般公開されています。