このページは Cloud Translation API によって翻訳されました。

Play Integrity API: アカウントアクティビティ早期アクセスプログラム（EAP）

Play アカウントアクティビティは、Play Integrity API の新しいシグナルです。Play アカウントアクティビティを使用すれば、より効果的で細やかな不正使用防止戦略を構築できます。アカウントアクティビティは、ストアアクティビティの有無および量、デバイス上のアカウントの利用時間に基づくレベルで表されます。アカウントアクティビティが評価されると、現在のユーザーセッションに対するアカウントアクティビティレベルが返されますが、ユーザー ID やデバイス ID にはリンクされていません。

Play アカウントアクティビティとは

Play Integrity API を利用すれば、完全性シグナルのコレクションを取得できるため、アプリやゲームのデベロッパーは、リスクが潜んでいる可能性のある不正なトラフィックを検出できます。この早期アクセスプログラムに参加しているデベロッパーは、API レスポンスにアカウントアクティビティを追加できます。API レスポンスには、デバイス、アプリ、アカウントライセンスの判定結果がすでに含まれています。デバイス、アプリ、ライセンスの判定結果に問題があった場合、アカウントアクティビティは評価されません。既存の判定結果に問題がない場合、アカウントアクティビティのレベルが返されます。レベルは、ストアアクティビティの有無および量、デバイス上のアカウントの利用時間に基づいて判断されます。このレベルを利用することで、正当なユーザーのトラフィックと正当でない可能性のあるアカウント（不正行為に使用されるアカウント、自動トラフィックに使用されるアカウント、デバイスファームで使用されるアカウントなど）のトラフィックをアプリが区別できます。アプリは、価値の高いアクションや機密情報にかかわるアクションを保護する際に、このシグナルを他のシグナルと併用できます。

早期アクセスプログラム（EAP）に参加しているアプリは、現在のユーザーセッションについて、次のいずれかのアカウントアクティビティレベルを取得できます。

UNEVALUATED: デバイスが信頼されていないか、ユーザーが Play アプリのライセンスを持っていないため、アカウントアクティビティが評価されなかった。
UNUSUAL: Google Play ストアのアクティビティが、デバイス上のユーザーアカウントの少なくとも 1 つに関して通常と異なる。Google Play では、アクティビティが実際のユーザーによるものであることを確認するようおすすめしています。
UNKNOWN: デバイス上のユーザーアカウントに関して評価するだけのストアアクティビティが Google Play に存在しない。アカウントが新しいか、Google Play でのアクティビティがまだ少ない可能性があります。
TYPICAL (BASIC): Google Play ストアアクティビティが、デバイス上のユーザーアカウントによる通常のものである。
TYPICAL (STRONG): Google Play ストアアクティビティが、デバイス上のユーザーアカウントによる通常のものであり、複製が困難なシグナルを送信している。

Play Integrity API アカウントアクティビティに関するおすすめの方法

不正使用対策戦略の一環としてアカウントアクティビティを使用する

アカウントアクティビティは、全体的な不正使用対策戦略の一環として他のシグナルと併用するのが最適で、単独で不正使用対策メカニズムとして使用するものではありません。このシグナルと Play Integrity API を、自分のアプリに適した他のセキュリティに関するおすすめの方法と組み合わせて使用してください。

アクションの前にテレメトリーを収集し対象ユーザーを理解する

アカウントアクティビティまたは他の Play Integrity API の判定結果に基づいて機能を変更する前に、まず既存のユーザー層の現状を把握する目的で API を実装してください。現在のインストールベースのレベルが判明したら、計画している適用を実施した場合の影響を推定し、それに応じて不正使用対策戦略を調整できます。

価値の高い機能や機密性の高い機能にアクセスする際に、リスクの高いトラフィックを検証する

アプリやゲームで、Play Integrity API で保護する価値の高いアクションや機密性の高いアクションを特定します。これにより、アプリやゲームへのアクセスを完全に拒否する必要がなくなります。可能であれば、価値の高いアクションを許可する前に、リスクの高いトラフィックを検証します。たとえば、アカウントアクティビティレベルが UNUSUAL の場合、ユーザーが保護対象のアクションを完了する前に、2 つ目の検証メカニズムを要求することができます。

ユーザーサポートを計画する

可能であれば、有用なエラーメッセージをユーザーに提供して、問題を自ら解決できるようにします。たとえば、再試行やインターネット接続の有効化、Google Play ストアアプリが最新かどうかの確認を試みてもらいます。アカウントアクティビティの評価は、Google Play によって定期的に更新されます。定期更新が実施される際、新しいストアアクティビティによってユーザーのレベルが自動的に変更されることがあります。

Play Integrity API に関する既存の推奨事項に従う

前述のおすすめの方法に加えて、Play Integrity API に関するセキュリティ上の考慮事項をお読みください。

早期アクセスプラグラムに参加して、Play Integrity API のアカウントアクティビティを利用する

アカウントアクティビティを利用するには、次の手順を行います。

ステップ 1: 以下の重要な考慮事項を確認する

アカウントアクティビティは現在開発中のため、変更される可能性があります。
アカウントアクティビティはまだ機密保持の対象です。アカウントアクティビティまたはアカウントアクティビティレベルに関する情報をエンドユーザーに知らせないでください。
アカウントアクティビティを使用すると、Google Play デベロッパー販売 / 配布契約および Play Integrity API 利用規約の各条項に同意したことになります。
早期アクセスプログラムに参加するデベロッパーには、適用戦略を変更する前に、アカウントアクティビティシグナルを評価し、評価結果に関するフィードバックと情報を Google Play に提供することが求められます。

ステップ 2: Play Integrity API のアカウントアクティビティ EAP への参加をリクエストする

ゲーム向け Google Play パートナープログラムのデベロッパーには、アカウントアクティビティ EAP へのアクセス権が自動的に付与されます。ステップ 3 に進んでください。

早期アクセスプログラムへの参加をお考えの他のデベロッパーは、以下の情報を記載したメールを integrity-api-eap@google.com までお送りください。

パッケージ名とデベロッパーアカウント ID
アカウントアクティビティに関する推奨手順を把握済みであることの確認
アカウントアクティビティの評価方法および、アカウントアクティビティの使用目的（すでにアイデアがある場合）
アカウントアクティビティ早期アクセスプログラムに参加した後の想定スケジュール

現時点では、アカウントが良好な状態で、Google Play の高いパフォーマンスしきい値を満たしているデベロッパーのみを受け付けています。

ステップ 3: Google Play Console から Integrity API レスポンスのアカウントアクティビティをオンにする

早期アクセスプログラムへの参加が承認されると、Google Play Console の [Integrity API] ページに新しいオプションが表示され、Play Integrity API レスポンスにアカウントアクティビティを含められるようになります。準備ができたら、Google Play Console でアカウントアクティビティをオンにします。

Google Play Console にログインします。
アカウントアクティビティを使用するアプリを選択します。
左側のメニューの [リリース] セクションで、[アプリの完全性] に移動します。
[Play Integrity API] の横にある [設定] をクリックします。
そのページの [レスポンス] セクションで、[アカウントアクティビティ] の横にある [オンにする] をクリックします。
表示されたウィンドウで [オンにする] をクリックします。

アカウントアクティビティのオン / オフを切り替えると、Google Play Console で設定した Play Integrity API テストレスポンスがすべて削除されるため、再度作成する必要があります。

ステップ 4: Integrity API をアプリとアプリのバックエンドサーバーに統合する

まだ統合していない場合は、ドキュメントを参照してアプリとアプリのバックエンドサーバーに Play Integrity API を統合します。

ステップ 5: アカウントアクティビティを使用する

アカウントアクティビティを有効にすると、Play Integrity API ペイロードの accountDetails フィールドに、デバイス上のユーザーアカウントに関連付けられたアクティビティを示す、新しいアカウントアクティビティシグナルが設定されます。

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity は次のいずれかの値を取ります。

UNUSUAL

Google Play ストアのアクティビティが、デバイス上のユーザーアカウントの少なくとも 1 つに関して通常と異なる。

UNKNOWN

デバイス上のユーザーアカウントに関して評価するだけのストアアクティビティが Google Play に存在しない。アカウントが新しいか、Google Play でのアクティビティがまだ少ない可能性があります。

TYPICAL (BASIC)

Google Play ストアアクティビティが、デバイス上のユーザーアカウントによる通常のものである。

TYPICAL (STRONG)

: Google Play ストアアクティビティが、デバイス上のユーザーアカウントによる通常のものであり、複製が困難なシグナルを送信している。

UNEVALUATED

要件が満たされていないため、アカウントアクティビティが評価されなかった。

次のような原因が考えられます。

デバイスの信頼性が十分でない。
デバイスにインストールされているアプリのバージョンが Google Play に認識されていない。
ユーザーが Google Play にログインしていない。
ユーザーがアプリにアクセスするために必要なライセンスを持っていない。

デバイス上のユーザーアカウントに通常と異なるアカウントアクティビティがあるかどうかを確認するには、次のコードスニペットに示すように、accountActivity.activityLevel が想定どおりかどうかを検証します。

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

ステップ 6: アカウントアクティビティとの統合をテストする

Play Integrity API で提供されているテスト機能を使用すれば、Play Integrity API から取得したアカウントアクティビティレベルがアプリにどのように作用するのか評価するためのテストを作成できます。このテスト機能の使用方法については、Google Play Console ヘルプセンターをご覧ください。

ステップ 7: Google Play に早期アクセスプログラムのフィードバックを提供する

早期アクセスプログラムへの参加者には、アカウントアクティビティについてのフィードバックをお願いしています。フィードバックは、integrity-api-eap@google.com までメールで送信してください。デベロッパーリサーチチームより、インタビューの日程調整に関してご連絡差し上げます。Google では次のことを把握したいと考えています。

アカウントアクティビティレベルとアプリやゲームの既知の不正なアカウントとの相関関係がどれくらい正確か。
アカウントアクティビティと他の Play Integrity API 判定結果に関して、ユーザー層の分布は、Google の想定と一致しているか。
アカウントアクティビティや他の Play Integrity API 判定結果に基づいて、デベロッパーが解決しようとしている不正使用問題にはどのようなものがあるか。
アカウントアクティビティや他の Play Integrity API 判定結果に基づいて、デベロッパーがどのような機能を変更しようとしているか。

Google Play の完全性に関するその他のツール

不正使用対策戦略の一環として、以下の完全性保護対策を実施することを検討してください。

信頼できないデバイスが、Google Play でアプリを見つけてインストールできないように除外する。これにより、ユーザーが他の手段（サイドローディングなど）でアプリを入手してインストールすることができなくなるわけではありません。
Automatic Integrity Protection を使用して、コードに変更を加えることなく、不正な改変や再配布を防ぐ。現在この機能にアクセスできない場合は、担当のパートナーマネージャーにお問い合わせください。
インストール時整合性保護をリクエストする（早期アクセスプログラム）。Google Play 開発者サービスを搭載した Android 11 以降のデバイスに、バージョンが不明なアプリや改変されたバージョンのアプリがインストールされないように保護できます。

Play Integrity API について詳しくは、Android デベロッパーサイトをご覧ください（ドキュメント）。
Play Integrity API によるゲームのセキュリティ強化（動画）
Play Integrity API のノンスフィールドを使用してアプリのセキュリティを強化（ブログ投稿）

Play Integrity API: アカウント アクティビティ早期アクセス プログラム（EAP）

Play アカウント アクティビティとは

Play Integrity API アカウント アクティビティに関するおすすめの方法

早期アクセス プラグラムに参加して、Play Integrity API のアカウント アクティビティを利用する

ステップ 1: 以下の重要な考慮事項を確認する

ステップ 2: Play Integrity API のアカウント アクティビティ EAP への参加をリクエストする

ステップ 3: Google Play Console から Integrity API レスポンスのアカウント アクティビティをオンにする

ステップ 4: Integrity API をアプリとアプリのバックエンド サーバーに統合する

ステップ 5: アカウント アクティビティを使用する