プライバシー技術ナビ

Privacy SandboxにおけるFirst-Party Sets（関連ウェブサイトセット）の技術的解説と実務への影響

はじめに

Webにおけるプライバシー保護の強化は、近年ブラウザベンダーが最優先で取り組むべき課題の一つとなっています。特にサードパーティCookieの制限は、従来のWeb広告やトラッキング技術に大きな変革をもたらしています。その中で、Googleが提唱するPrivacy Sandboxは、プライバシーを保護しつつWebのビジネスモデルを維持するための新しい技術群として注目を集めています。

本記事では、Privacy Sandboxの中核をなす技術の一つである「First-Party Sets（旧称：Related Websites Sets）」に焦点を当てて解説します。この技術がどのような課題を解決し、どのような仕組みで機能するのか、そしてフロントエンド開発にどのような具体的な影響をもたらし、どのように対応すべきかを深く掘り下げていきます。

First-Party Sets（関連ウェブサイトセット）とは何か

First-Party Setsは、複数のドメインが単一の「ファーストパーティ」として扱われるべきであるとブラウザに認識させるための仕組みです。これにより、異なるドメイン間であっても、関連性の高いウェブサイト間での限定的なクロスサイトCookieの共有や、Storage Access APIの利用が許可されるようになります。

従来のWebでは、example.comとsub.example.comのようなサブドメインは同一のファーストパーティとして扱われましたが、example.comとexample.co.jp、あるいはservice.comとcdn.service.comのように、異なるトップレベルドメインやセカンドレベルドメインを持つ関連サービス間では、それぞれが独立した「サードパーティ」として扱われていました。サードパーティCookieの制限が厳しくなるにつれて、これらの関連ドメイン間でのシングルサインオン、セッション管理、埋め込みコンテンツのパーソナライゼーションなどが困難になるという課題が生じています。

First-Party Setsは、このような合法的なクロスサイトの関係性をブラウザに宣言し、その範囲内で特定のプライバシー技術を適用することを目的としています。

First-Party Setsの技術的仕組み

First-Party Setsを構成するドメイン群は、「オーナー（Owner）」ドメインと「メンバー（Member）」ドメインに分けられます。オーナーはセット全体を代表する主要なドメインであり、メンバーはオーナーに関連する補助的なドメインです。

この仕組みは、以下の要素で機能します。

1. /.well-known/first-party-set ファイル: 各ドメインが自身がどのFirst-Party Setに属しているかを宣言するための標準的なJSONファイルです。 オーナーは自身のサーバーの/.well-known/first-party-setに、自身がオーナーであるセットのメンバーリストを記述します。 メンバーは自身のサーバーの/.well-known/first-party-setに、自身がどのオーナーのメンバーであるかを記述します。

   オーナーの /.well-known/first-party-set ファイルの例: json { "owner": "https://owner.example", "members": ["https://member1.example", "https://member2.example"] }

   メンバーの /.well-known/first-party-set ファイルの例: json { "owner": "https://owner.example" } ブラウザはこれらのファイルを読み取り、宣言されたセットの妥当性を検証します。

2. Storage Access APIとの連携: First-Party Setsに属するドメイン間でクロスサイトCookieにアクセスする場合、通常はブラウザによってブロックされます。しかし、Storage Access API (document.requestStorageAccess() または document.requestStorageAccessForOrigin()) を利用することで、ユーザーの許可を得て、またはFirst-Party Set内であるという条件付きで、Cookieへのアクセスを要求することができます。

   document.requestStorageAccess() は、フレームのオリジンがトップレベルのオリジンに対してストレージアクセスを要求する場合に使用されます。 document.requestStorageAccessForOrigin(origin) は、トップレベルのオリジンが、自身と同じFirst-Party Setに属する別のオリジンに対してストレージアクセスを要求する場合に使用されます。

3. SameParty Cookie属性: First-Party Setsの概念が導入されるに伴い、Cookieには新しい属性としてSamePartyが提案されています。この属性が付与されたCookieは、同じFirst-Party Setに属するドメイン間であれば、クロスサイトであっても送信されるようになります。これはSameSite=LaxやSameSite=Strictと組み合わせて利用され、よりきめ細やかなCookie制御を可能にします。

   Set-Cookie ヘッダーの例: Set-Cookie: session_id=abcde; Path=/; Secure; SameSite=Lax; SameParty

実務への影響と対応策

First-Party Setsの導入は、特に複数のドメインにまたがるサービスを展開している企業や、そのサービスを開発するフロントエンドエンジニアにとって重要な影響を及ぼします。

1. シングルサインオン（SSO）とセッション管理

• 影響: サービスが複数のドメインにまたがっている場合（例: main.com, blog.main.com, support.main.com）、ユーザーが一度ログインすれば、他の関連ドメインでもログイン状態が維持されるSSOの実現が難しくなります。
• 対応策:
  • これらのドメインをFirst-Party Setとして宣言します。
  • ログインが必要な関連ドメインのiframe内で、document.requestStorageAccess() を呼び出し、ユーザーの許可を得てCookieアクセスを要求します。
  • あるいは、オーナーサイトから他のメンバーサイトへのStorage Access APIリクエストには、document.requestStorageAccessForOrigin() を使用します。
  • SameParty属性を持つCookieを利用し、セット内のドメイン間で安全にCookieを共有します。

2. 埋め込みコンテンツ（iframe）の機能維持

• 影響: 異なるドメインから埋め込まれたiframe内で、ユーザーにパーソナライズされた体験を提供したり、ログイン状態を維持したりする機能が制限される可能性があります。
• 対応策:
  • 埋め込みコンテンツを提供するドメインと、コンテンツを埋め込む側のドメインが関連性が高い場合、それらをFirst-Party Setとして構成します。
  • iframe内でdocument.requestStorageAccess() を適切に呼び出し、必要なCookieへのアクセスを確保します。

3. 開発およびテスト環境への影響

• 影響: ローカル環境やステージング環境で複数のドメインをシミュレートして動作確認を行う際に、Cookieの挙動が本番環境と異なる可能性があります。
• 対応策:
  • 開発環境でも/.well-known/first-party-setファイルを正しく配置し、First-Party Setsの設定をシミュレートする。
  • ブラウザの開発者ツールでCookieの挙動を監視し、期待通りに送信されているか確認する。
  • Chromeの場合、chrome://flagsでFirst-Party Sets関連のフラグを有効・無効にしてテストを行うことができます。

具体的なコード例

Storage Access API の利用例

iframe 内でクロスサイトCookieにアクセスする必要がある場合、以下のように実装します。

async function requestStorageAccess() {
  // まず、iframeがサードパーティコンテキストにあるか確認
  if (document.hasStorageAccess) {
    const hasAccess = await document.hasStorageAccess();
    if (hasAccess) {
      console.log('すでにストレージアクセスがあります。');
      return;
    }
  }

  // ストレージアクセスを要求
  try {
    // requestStorageAccess()はユーザーの操作（クリックなど）によって呼び出す必要があります。
    // そうでない場合、プロンプトが表示されないか、拒否される可能性があります。
    await document.requestStorageAccess();
    console.log('ストレージアクセスが付与されました。');
    // アクセスが付与された後、Cookieにアクセスする処理を続行
    // 例: fetch('/api/user-data')
  } catch (error) {
    console.error('ストレージアクセスが拒否されました:', error);
    // ユーザーに状況を説明し、代替手段を提供する
  }
}

// ユーザーのアクション（例: ボタンクリック）に応じて呼び出す
document.getElementById('loginButton').addEventListener('click', requestStorageAccess);

First-Party Set内のオーナーサイトからメンバーサイトへのアクセス例

owner.exampleからmember.exampleのCookieを必要とする場合（member.exampleがFirst-Party Setのメンバーであると宣言されていることを前提とします）：

async function requestMemberOriginStorageAccess() {
  const memberOrigin = 'https://member.example';

  try {
    // First-Party Setのメンバーであれば、ユーザーのプロンプトなしでアクセスが許可される可能性があります。
    await document.requestStorageAccessForOrigin(memberOrigin);
    console.log(`'${memberOrigin}' へのストレージアクセスが付与されました。`);
    // アクセスが付与された後、 memberOrigin のリソースから Cookie を含むリクエストを送信可能
    // 例: fetch(`${memberOrigin}/api/data`, { credentials: 'include' });
  } catch (error) {
    console.error(`'${memberOrigin}' へのストレージアクセスが拒否されました:`, error);
  }
}

// ページロード時や必要なタイミングで呼び出す
// ただし、これもユーザー操作に起因する可能性が高いです。
requestMemberOriginStorageAccess();

ブラウザごとの挙動の違いと将来展望

First-Party Setsは、主にGoogle ChromeのPrivacy Sandbox構想の中で推進されています。

• Google Chrome: First-Party SetsはPrivacy Sandboxの主要なコンポーネントとして開発が進められており、最終的なサードパーティCookie廃止に向けて段階的に導入されています。開発者はオリジントライアルなどを通じて、その挙動を確認できます。将来的には、SameParty Cookie属性と連携して、関連ドメイン間での限定的なCookie共有を実現する予定です。

• Apple Safari (ITP): SafariのIntelligent Tracking Prevention (ITP) は、Googleとは異なるアプローチでトラッキングを制限しています。ITPは早くからサードパーティCookieを制限し、Storage Access APIを先行して実装しました。しかし、ITPのStorage Access APIはユーザーの明示的な操作と許可を強く要求する傾向にあり、First-Party Setsのようなドメインセットの概念は直接的には採用していません。Safariのポリシーでは、関連性の低いドメイン間での情報共有は極力避ける方向性です。

• Mozilla Firefox (ETP): FirefoxのEnhanced Tracking Protection (ETP) も、独自の強力なトラッキング防止機能を備えています。Total Cookie Protection（パーティショニングされたCookieストレージ）により、デフォルトですべてのサードパーティCookieをサイトごとに隔離します。FirefoxはFirst-Party Setsに直接参加しておらず、現在のところ同様の仕組みを導入する計画は発表されていません。Storage Access APIについては実装されていますが、GoogleのFirst-Party Setsの文脈とは独立して機能します。

このように、各ブラウザがプライバシー保護のために異なるアプローチを取っているため、開発者は特定のブラウザに依存せず、各ブラウザのポリシーを理解し、それぞれに対応した実装戦略を検討する必要があります。

First-Party Setsはまだ進化の途上にあり、Web標準としての採用や他のブラウザでの実装については議論が続いています。しかし、ChromeがWeb市場で大きなシェアを持つことを考えると、この技術は無視できない存在であり、今後のWeb開発においてその動向を注視し続けることが重要です。

まとめ

First-Party Setsは、プライバシー保護とWebの機能性維持という二つの要件を両立させるための、Privacy Sandboxにおける重要な試みです。複数の関連ドメインを一つのファーストパーティとして扱うことで、シングルサインオンや埋め込みコンテンツなどのユースケースにおいて、限定的なクロスサイトCookieアクセスを可能にします。

フロントエンドエンジニアとしては、この技術の目的と技術的仕組み（/.well-known/first-party-setファイル、Storage Access API、SameParty属性）を深く理解し、自身のサービスが複数のドメインにまたがる場合にどのように影響を受けるか、そしてどのように対応すべきかを検討する必要があります。

今後もブラウザのプライバシー技術は進化を続けます。最新の仕様を追いかけ、変化に適応する柔軟な設計を心がけることが、持続可能なWebサービス開発の鍵となるでしょう。