このページでは、アプリまたはゲームで Play Integrity API を使用するようにセットアップする方法について説明します。API からのレスポンスを有効にして、アプリとアプリのバックエンド サーバーに API を統合する必要があります。Google Play Console で、Play Integrity API に使用している Google Cloud プロジェクトをリンクすると、追加の構成オプション、テスト機能、レポートを利用できるようになります。
Play Integrity API レスポンスを有効にする
Play Integrity API を呼び出すすべてのアプリまたは SDK は、Google Cloud プロジェクトを使用して API の使用状況をモニタリングする必要があります。Google Play で配信するアプリの場合、Google Play Console で Cloud プロジェクトにリンクすると Play Integrity API からのレスポンスを有効にできます。新しい Cloud プロジェクトを作成する場合や、アプリが Google Play 以外でのみ配信されている場合は、Google Cloud コンソールから Play Integrity API レスポンスを有効にできます。
Google Play Console でセットアップする(推奨)
Google Play Console で Play Integrity API レスポンスを有効にすると、追加の構成オプション、テスト機能、API レポートを利用できるようになります。このオプションは、Google Play で配信されるアプリでのみ利用できます。[リリース] > [アプリの完全性] に移動します。[Play Integrity API] で [Cloud プロジェクトをリンクする] を選択します。アプリにリンクする Cloud プロジェクトを選択すると、Play Integrity API レスポンスが有効になります。これで、Play Integrity API をアプリに統合できます。
Google Cloud コンソールでセットアップする
Google Cloud コンソールで、新しい Cloud プロジェクトを作成するか、Play Integrity API で使用する既存の Cloud プロジェクトを選択します。[API とサービス] に移動します。[API とサービスの有効化] を選択します。Play Integrity API を検索し、有効化します。これで、Play Integrity API をアプリに統合できます。
SDK プロバイダの手順をセットアップする
SDK プロバイダは、固有の Google Cloud プロジェクトを使用して Play Integrity API を呼び出す必要があります。それにより、API の使用が、SDK を使用する個々のアプリではなく SDK に関連付けられます。つまり、SDK を使用するアプリは Play Integrity API を個別にセットアップする必要はありません。Play Integrity API へのリクエストは、アプリではなく、SDK の API 使用量に自動的にカウントされます。
SDK デベロッパーは、Google Play SDK Console または Google Cloud コンソールのどちらかを使用して Play Integrity API をセットアップできます
Google Play SDK Console を使用する(推奨)
Google Play SDK Console で Play Integrity API レスポンスを有効にすると、追加の構成オプションを利用できるようになります。[SDK の整合性] に移動し、[設定] をクリックします。[プロジェクト構成] で [Cloud プロジェクトをリンクする] を選択します。SDK にリンクする Cloud プロジェクトを選択すると、Play Integrity API レスポンスが有効になります。これで、Play Integrity API を SDK に統合できます。Google Play SDK Console へのアクセスには、利用資格の条件が適用されます。
Google Cloud コンソールを使用する
Google Cloud コンソールから Play Integrity API レスポンスを有効にできます。Google Cloud コンソールで、新しい Cloud プロジェクトを作成するか、Play Integrity API で使用する既存の Cloud プロジェクトを選択します。[API とサービス] に移動します。[API とサービスの有効化] を選択します。Play Integrity API を検索し、有効化します。これで、Play Integrity API を SDK に統合できます。
SDK の 1 日あたりの Play Integrity API リクエスト数を引き上げる
1 日あたりのリクエスト数上限の引き上げを希望する SDK プロバイダは、割り当てリクエスト フォームをご提出ください。公開コメントのセクションで、SDK のリクエストである旨を記載し、Maven 座標(groupId:artifactId
)または SDK への URL を含めてください。
1 日あたりの Play Integrity API リクエスト数を引き上げる
アプリごとに 1 日あたり最大 10,000 件のリクエスト上限が適用されます。アプリが増加するユーザー数に対応する必要がある場合は、以下の手順で 1 日あたりの上限の引き上げをリクエストできます。
リクエストの 1 日あたりの上限を引き上げる
リクエストの 1 日あたりの上限を引き上げるには、他の配信チャネルに加えて Google Play でもアプリが利用できる必要があります。1 日あたりの上限を引き上げた後も、ユーザーごとのクラシック リクエストは、リクエスト頻度が低く高価値を生むアクションに制限して、ユーザーデータの保持とバッテリーの節約に努めてください。
リクエスト数の 1 日あたりの上限の引き上げをリクエストする手順は次のとおりです。
- Google Play Console で、Play Integrity API に使用している Google Cloud プロジェクトをリンクします。
- 推奨される再試行戦略などの API ロジックを正しく実装していることを確認します。
- こちらのフォームを使用して、割り当ての増加をリクエストします。
Play Integrity API の割り当ての引き上げには、最長で 1 週間かかることがあります。そのため、Google Play Console または Google Cloud コンソールで Play Integrity API の使用量をモニタリングすることを強くおすすめします。これらのコンソールでは、サービスが中断されることがないように、割り当てアラートをセットアップすることもできます。
クラシック リクエストの割り当てが増えると、完全性トークンを生成するクライアント呼び出しと、完全性トークンの復号と検証を行うサーバー呼び出しの両方に自動的に適用されます。標準リクエストの割り当てが増えると、完全性トークンの復号と検証を行うサーバー呼び出しに適用されます。
Play Integrity API をアプリに統合する
Play Integrity API をアプリまたは SDK に統合するには、開発環境に応じて次のいずれかを実行します。
Kotlin または Java
Play Integrity API 用の最新の Android ライブラリは、Google の Maven リポジトリから入手できます。アプリの build.gradle
ファイルに次の依存関係を追加します。
implementation 'com.google.android.play:integrity:1.4.0'
Unity
Unity 用 Google Play Integrity プラグイン 1.3.0 以降をインストールします。手順については、Unity 用の Google パッケージをインストールする方法をご覧ください。
- 2019.x、2020.x 以降のすべてのバージョンがサポートされています。
- Unity 2018.x を使用している場合は、バージョン 2018.4 以降がサポートされています。
- Unity 2017.x 以前のバージョンはサポートされていません。
ネイティブ
Play Core Native SDK 1.13.0 以降をインストールします。手順については、Play Core Native の開発環境セットアップ ガイドをご覧ください。
API レスポンスを設定する(省略可)
API レスポンスには、すべてのリクエストで返されるデフォルトの判定結果が含まれます。Google Play Console で Play Integrity API の統合を設定している場合は、API レスポンスをカスタマイズできます。
デフォルトのレスポンス
Play Integrity API レスポンスでは、デフォルトで以下の完全性判定の結果が返されます。
レスポンス フィールド | 値 | 説明 |
---|---|---|
デバイスの完全性 | MEETS_DEVICE_INTEGRITY |
アプリは、Google Play 開発者サービスを搭載した Android デバイスで動作しています。このデバイスはシステム完全性チェックに合格し、Android の互換性要件を満たしています。 |
空(空の値) | アプリは、API フックなどの攻撃や root 権限取得などのシステム侵害の兆候があるデバイス、または Google Play の完全性チェックに合格していない仮想デバイス(エミュレータなど)で動作しています。 | |
Play アカウントの詳細 | LICENSED |
ユーザーはアプリの利用資格を持っています。つまり、ユーザーはデバイスで Google Play からアプリをインストールまたは更新しました。 |
UNLICENSED |
ユーザーはアプリの利用資格を持っていません。ユーザーがアプリをサイドローディングした場合や、アプリを Google Play から取得したのではない場合などが該当します。 | |
UNEVALUATED |
要件が満たされていないため、ライセンスの詳細は評価されませんでした。次のような原因が考えられます。
|
|
アプリの完全性 | PLAY_RECOGNIZED |
アプリと証明書が、Google Play で配信されているバージョンと一致します。 |
UNRECOGNIZED_VERSION |
証明書またはパッケージ名が Google Play の記録と一致しません。 | |
UNEVALUATED |
アプリの完全性は評価されませんでした。デバイスの信頼性が十分でないなど、要件が満たされていませんでした。 |
条件付きレスポンス
PC 版 Google Play Games に配信する場合は、デバイスの完全性判定の結果において次の追加ラベルの受け取りが自動的にオプトインされます。
レスポンス フィールド | ラベル | 説明 |
---|---|---|
デバイスの完全性 | MEETS_VIRTUAL_INTEGRITY |
アプリは、Google Play 開発者サービスを搭載した Android Emulator で動作しています。このエミュレータはシステム完全性チェックに合格し、Android の互換性に関する主要な要件を満たしています。 |
オプトイン可能なレスポンス
Google Play Console または Google Play SDK Console で Play Integrity API の統合を設定している場合は、API レスポンスでの情報の受け取りをオプトインできます。
API レスポンスを変更するには、Google Play Console にアクセスし、[リリース] > [アプリの完全性] に移動します。[レスポンス] で編集を行い、変更を保存します。
オプションのデバイス情報
アプリと SDK では、デバイスの完全性判定の結果において追加のデバイスラベルの受け取りをオプトインできます。追加のラベルを受け取るように設定すると、それぞれのラベル基準が満たされた場合、同じデバイスに対する複数のラベルが完全性レスポンスに含まれるようになります。返される可能性のあるレスポンスの範囲に応じて異なる動作をするバックエンド サーバーを準備できます。たとえば、3 つのラベル(MEETS_STRONG_INTEGRITY
、MEETS_DEVICE_INTEGRITY
、MEETS_BASIC_INTEGRITY
)を返すデバイスは、1 つのラベル(MEETS_BASIC_INTEGRITY
)のみを返すデバイスよりも信頼性が高くなります。
最近のデバイスのアクティビティを有効にすることもできます。最近のデバイスのアクティビティは、LEVEL_1
(リクエスト数が少ない)から LEVEL_4
(リクエスト数が多い)のレベルを返します。たとえば、アプリの通常のアクティビティ レベルよりも大幅に高いアクティビティ レベルを返すデバイスは、信頼できないデバイスに配布するために完全性トークンを大量に生成しようとしている可能性があります。
デバイス属性を有効にすることもできます。これにより、デバイスで実行されている Android OS の Android SDK バージョンを確認できます。今後、他のデバイス属性が追加される可能性があります。
レスポンス フィールド | ラベル | 説明 | |
---|---|---|---|
デバイスの完全性 | MEETS_BASIC_INTEGRITY |
アプリは、基本的なシステム完全性チェックに合格したデバイスで動作しています。このデバイスは Android の互換性要件を満たしておらず、Google Play 開発者サービスの実行を承認されていない可能性があります。たとえば、認識されていないバージョンの Android を搭載している、ブートローダーがロック解除されている、メーカーによる認定を受けていない、などの場合があります。 | |
MEETS_STRONG_INTEGRITY |
アプリは、Google Play 開発者サービスを搭載した Android デバイスで動作しており、システム完全性の強力な保証(ハードウェア格納型のブート完全性保証など)が存在します。このデバイスはシステム完全性チェックに合格し、Android の互換性要件を満たしています。 | ||
過去 1 時間にこのデバイスでアプリごとに行われた Standard API 完全性トークン リクエスト | 過去 1 時間にこのデバイスでアプリごとに行われたクラシック API 完全性トークン リクエスト | ||
最近のデバイスのアクティビティ | LEVEL_1 (最小) |
10 本以下 | 5 以下 |
LEVEL_2 |
11 ~ 25 | 6 ~ 10 人 | |
LEVEL_3 |
26 ~ 50 | 11 ~ 15 | |
LEVEL_4 (最高) |
50 件以上 | 16 以上 | |
UNEVALUATED |
最近のデバイスのアクティビティは評価されませんでした。原因として考えられるのは次のとおりです。
|
||
デバイスの属性 | sdkVersion: 19, 20, ..., 35 |
デバイスで実行されている Android OS の SDK バージョン。返された数値は Build.VERSION_CODES にマッピングされます。 |
|
空(空の値) | 必要な要件が満たされていないため、SDK バージョンは評価されませんでした。この場合、sdkVersion フィールドは設定されていないため、deviceAttributes フィールドは空になります。次のような理由が考えられます。
|
オプトイン可能な環境の詳細
アプリでは、環境に関する追加の判定結果の受け取りをオプトインできます。アプリアクセス リスクを使用すると、画面をキャプチャしたり、オーバーレイを表示したり、デバイスを操作したりする可能性のある他のアプリが実行されているかどうかを確認できます。Google Play プロテクトの判定結果は、デバイスで Google Play プロテクトが有効になっているかどうか、既知のマルウェアが検出されたかどうかを示します。
これらの判定結果の受け取りをオプトインすると、API レスポンスの判定結果に環境の詳細フィールドが追加されます。
レスポンス フィールド | 値 | 説明 |
---|---|---|
アプリアクセス リスクの判定結果 | KNOWN_INSTALLED |
Google Play によってインストールされたか、デバイスのメーカーによってシステム パーティションにプリロードされたアプリです。 |
KNOWN_CAPTURING |
リクエスト元アプリの入出力の読み取りまたはキャプチャに使用できる Google Play によってインストールされたアプリまたはデバイスにプリロードされたアプリが実行されています(スクリーン レコーダー アプリなど)。 | |
KNOWN_CONTROLLING |
デバイスやリクエスト元アプリの入出力の制御に使用できる、Google Play によってインストールされたアプリまたはデバイスにプリロードされたアプリが実行されています(リモコンアプリなど)。 | |
KNOWN_OVERLAYS |
Google Play によってインストールされたアプリ、またはデバイスにプリロードされているアプリが実行されており、リクエスト元のアプリにオーバーレイが表示されている可能性があります。 | |
UNKNOWN_INSTALLED |
Google Play によってインストールされた、またはデバイスのメーカーによってシステム パーティションにプリロードされたアプリではない、他のアプリがインストールされています。 | |
UNKNOWN_CAPTURING |
リクエスト元アプリの入出力の読み取りまたはキャプチャに使用できる他のアプリ(Google Play によってインストールされたアプリやデバイスにプリロードされたアプリではない)が実行されています(スクリーン レコーダー アプリなど)。 | |
UNKNOWN_CONTROLLING |
デバイスやリクエスト元アプリの入出力の制御に使用できる他のアプリが実行されています(Play によってインストールされたアプリでも、デバイスにプリロードされたアプリでもありません)。リモコンアプリなど。 | |
UNKNOWN_OVERLAYS |
リクエスト元のアプリにオーバーレイを表示している可能性がある、他のアプリ(Google Play によってインストールされたアプリやデバイスにプリロードされたアプリではない)が実行されています。 | |
空(空の値) | 必要な要件が満たされていない場合、アプリアクセス リスクは評価されません。この場合、appAccessRiskVerdict フィールドは空です。次のような原因が考えられます。
|
|
Play プロテクトの判定結果 | NO_ISSUES |
Play プロテクトはオンになっていますが、デバイスにおいてアプリの問題は検知されませんでした。 |
NO_DATA |
Play プロテクトはオンになっていますが、まだスキャンが実行されていません。デバイスまたは Play ストア アプリが最近リセットされた可能性があります。 | |
POSSIBLE_RISK |
Play プロテクトがオフになっています。 | |
MEDIUM_RISK |
Play プロテクトがオンになっており、有害な可能性があるアプリがデバイスにインストールされていることが検知されました。 | |
HIGH_RISK |
Play プロテクトがオンになっており、危険なアプリがデバイスにインストールされていることが検知されました。 | |
UNEVALUATED |
Play プロテクトの判定結果は評価されませんでした。デバイスの信頼性が十分でないなど、要件が満たされていませんでした。 |
クラシック リクエストの設定を構成する(省略可)
標準 API リクエストのみを行う予定の場合は、このセクションをスキップしてください。
クラシック リクエストを実行する場合、Play Integrity API とのやり取りでアプリが使用するレスポンスの暗号化は、デフォルトでは Google Play のサーバーが管理します。このデフォルトの方法を使用することをおすすめしますが、以下の手順でレスポンスの暗号鍵を管理およびダウンロードすることもできます。
レスポンスの暗号化を Google に任せる(デフォルト / 推奨)
アプリのセキュリティを保護するため、レスポンスの暗号鍵の生成と管理を Google で行えるようにすることをおすすめします。バックエンド サーバーが Google Play のサーバーを呼び出してレスポンスを復号します。
レスポンスの暗号鍵を自分で管理、ダウンロードする
独自の安全なサーバー環境内で、完全性判定の結果をローカルで復号する場合は、ご自身でレスポンスの暗号鍵を管理、ダウンロードできます。レスポンスの暗号鍵の管理とダウンロードを行うには、Google Play Console を使用していることと、他の配信チャネルに加えて Google Play でもアプリが公開されている必要があります。レスポンスの暗号鍵の管理方法を Google 管理から自己管理に切り替える手順は次のとおりです。
受け取ったトークンをクライアント アプリ内で復号または検証しないでください。復号鍵は決してクライアント アプリに公開しないでください。
Google Play Console でレスポンスの暗号化の管理方法を変更する前に、サービスの停止を回避するため、完全性トークンの復号と検証が Google Play のサーバーで行われるようにサーバーが正しく構成されていることを確認してください。
レスポンスの暗号鍵の Google 管理とセルフマネージドを切り替える
現在、Google がレスポンスの暗号化を管理している場合に、レスポンスの暗号鍵をご自身で管理、ダウンロードする方法に切り替えるには、次の手順を行います。
- Google Play Console にログインします。
- Play Integrity API を使用しているアプリを選択します。
- 左側のメニューの [リリース] セクションで、[アプリの完全性] に移動します。
- [Play Integrity API] の横にある [設定] をクリックします。
- そのページの [クラシック リクエスト] セクションで、[レスポンスの暗号化] の横にある [編集] をクリックします。
- 表示されたウィンドウで、[レスポンスの暗号鍵を自分で管理、ダウンロードする] をクリックします。
- 手順に沿って公開鍵をアップロードします。
- アップロードが正常に完了したことがウィンドウに表示されたら、[保存] をクリックします。これにより、暗号化された鍵が自動的にダウンロードされます。
- 独自の安全なサーバー環境で、レスポンスの暗号鍵を使用してローカルで完全性トークンの復号と検証を行うように、サーバーのロジックを変更します。
- (省略可)レスポンスの暗号鍵をご自身で管理する場合も、アプリは Google Play のサーバーにフォールバックしてレスポンスの復号と検証を行えます。
レスポンスの暗号鍵をご自身で管理している場合に、Google にレスポンスの暗号化の管理を任せる方法に切り替えるには、次の手順を行います。
- Google のサーバーのみで復号と検証を行うように、サーバーのロジックを変更します。
- Google Play Console にログインします。
- Play Integrity API を使用しているアプリを選択します。
- 左側のメニューの [リリース] セクションで、[アプリの完全性] に移動します。
- [Play Integrity API] の横にある [設定] をクリックします。
- そのページの [クラシック リクエスト] セクションで、[レスポンスの暗号化] の横にある [編集] をクリックします。
- 表示されたウィンドウで、[レスポンスの暗号化の管理を Google に任せる(推奨)] をクリックします。
- [変更を保存] をクリックします。