セットアップ

このページでは、アプリまたはゲームを Play Integrity API を使用するようにセットアップする方法について説明します。API からのレスポンスを有効にして、API をアプリとアプリのバックエンド サーバーに統合する必要があります。Google Play Console で、Play Integrity API に使用している Google Cloud プロジェクトをリンクすると、追加の構成オプション、テスト機能、レポートを利用できるようになります。

Play Integrity API レスポンスを有効にする

Play Integrity API を呼び出すすべてのアプリまたは SDK は、Google Cloud プロジェクトを使用して API の使用状況をモニタリングする必要があります。Google Play 上のアプリは、Google Play Console で Cloud プロジェクトをリンクして、Play Integrity API レスポンスを有効にできます。新しい Cloud プロジェクトを作成する場合や、アプリが Google Play 以外で独占配信されている場合は、Google Cloud コンソールから Play Integrity API レスポンスを有効にできます。

Google Play Console でセットアップする(推奨)

Google Play Console で Play Integrity API レスポンスを有効にすると、追加の構成オプション、テスト機能、API レポートを利用できるようになります。このオプションは、Google Play で配信されるアプリでのみ利用できます。[リリース] > [アプリの完全性] に移動します。[Play Integrity API] で [Cloud プロジェクトをリンクする] を選択します。アプリにリンクする Cloud プロジェクトを選択すると、Play Integrity API レスポンスが有効になります。これで、Play Integrity API をアプリに統合できます。

Google Cloud コンソールでセットアップする

Google Cloud コンソールで、新しい Cloud プロジェクトを作成するか、Play Integrity API で使用する既存の Cloud プロジェクトを選択します。[API とサービス] に移動します。[API とサービスの有効化] を選択します。Play Integrity API を検索し、有効化します。これで、Play Integrity API をアプリに統合できます。

SDK プロバイダの手順をセットアップする

SDK プロバイダは、固有の Google Cloud プロジェクトを使用して Play Integrity API を呼び出す必要があります。それにより、API の使用が、SDK を使用する個々のアプリではなく SDK に関連付けられます。つまり、SDK を使用するアプリは Play Integrity API をセットアップする必要がなく、Play Integrity API へのリクエストは SDK の API の使用量に自動的にカウントされます。

Google Cloud コンソールから Play Integrity API レスポンスを有効にできます。Google Cloud コンソールで、新しい Cloud プロジェクトを作成するか、Play Integrity API で使用する既存の Cloud プロジェクトを選択します。[API とサービス] に移動します。[API とサービスの有効化] を選択します。Play Integrity API を検索し、有効化します。これで、Play Integrity API を SDK に統合できます。

1 日あたりのリクエスト数上限の引き上げを希望する SDK プロバイダは、割り当てリクエスト フォームをご提出ください。任意のコメント欄に、SDK のリクエスト数上限の引き上げをリクエストする旨を記載し、Maven 座標(groupId:artifactId)または SDK への URL を含めてください。

1 日あたりの Play Integrity API リクエスト数を引き上げる

アプリごとに 1 日あたり最大 10,000 件のリクエスト上限が適用されます。アプリが増加するユーザー数に対応する必要がある場合は、以下の手順で 1 日あたりの上限の引き上げをリクエストできます。

リクエストの 1 日あたりの上限を引き上げる

クラシック リクエストの 1 日あたりの上限を引き上げるには、他の配信チャネルに加えて Google Play でもアプリが利用できる必要があります。アプリで 1 日あたりの上限を引き上げたうえでクラシック リクエストを実行している場合でも、ユーザーデータとバッテリーの維持のために、ユーザーごとの API 呼び出しは引き続き頻度が少なく価値の高いアクションに留める必要があります。

リクエスト数の 1 日あたりの上限の引き上げをリクエストする手順は次のとおりです。

  1. Google Play Console で、Play Integrity API に使用している Google Cloud プロジェクトをリンクします。
  2. 推奨される再試行戦略などの API ロジックを正しく実装していることを確認します。
  3. こちらのフォームを使用して、割り当ての増加をリクエストします。

Play Integrity API の割り当ての引き上げには、最長で 1 週間かかることがあります。そのため、Google Play Console または Google Cloud コンソールで Play Integrity API の使用量をモニタリングすることを強くおすすめします。これらのコンソールでは、サービスが中断されることがないように、割り当てアラートをセットアップすることもできます。

クラシック リクエストの割り当ての引き上げは、自動的に完全性トークンを生成するクライアント呼び出しと、完全性トークンの復号と検証を行うサーバー呼び出しの両方に適用されます。標準リクエストの割り当ての引き上げは、完全性トークンの復号と検証を行うサーバー呼び出しに適用されます。

Play Integrity API をアプリに統合する

Play Integrity API をアプリまたは SDK に統合するには、開発環境に応じて次のいずれかを実行します。

Kotlin または Java

Play Integrity API 用の最新の Android ライブラリは、Google の Maven リポジトリから入手できます。アプリの build.gradle ファイルに次の依存関係を追加します。

implementation 'com.google.android.play:integrity:1.2.0'

Unity

Unity 用 Google Play Integrity プラグイン 1.1.0 以降をインストールします。手順については、Unity 用の Google パッケージをインストールする方法をご覧ください。

  • 2019.x、2020.x 以降のすべてのバージョンがサポートされています。
  • Unity 2018.x を使用している場合は、バージョン 2018.4 以降がサポートされています。
  • Unity 2017.x を使用している場合は、2017.4 以降がサポートされています。
  • Unity 5.x 以前のバージョンはサポートされていません。

ネイティブ

Play Core Native SDK 1.12.1 以降をインストールします。手順については、Play Core Native の開発環境セットアップ ガイドをご覧ください。

API レスポンスを設定する(省略可)

Play Integrity API レスポンスでは、デフォルトで次の API レスポンスが返されます。

API レスポンス ラベル 説明
デバイスの完全性 MEETS_DEVICE_INTEGRITY アプリは、Google Play 開発者サービスを搭載した Android デバイスで動作しています。このデバイスはシステム完全性チェックに合格し、Android の互換性要件を遵守しています。
ラベルなし(空の値) アプリは、API フックなどの攻撃や root 権限取得などのシステム侵害の兆候があるデバイス、または Google Play の完全性チェックに合格していない仮想デバイス(エミュレータなど)で動作しています。
アカウントの詳細 LICENSED ユーザーはアプリの利用資格を持っています。つまり、ユーザーは Google Play でアプリをインストールまたは購入しました。ユーザーがアプリをアンインストールしてもアプリの利用資格が維持されるため、ユーザーが後で別の方法により同じアプリを入手した場合、ユーザー アカウントには引き続きライセンスが適用されます。
UNLICENSED ユーザーはアプリの利用資格を持っていません。ユーザーがアプリをサイドローディングした場合や、アプリを Google Play から取得したのではない場合などが該当します。
UNEVALUATED 要件が満たされていないため、ライセンスの詳細は評価されませんでした。次のような原因が考えられます。
  • デバイスの信頼性が十分でない。
  • ユーザーが Google Play にログインしていない。
  • デバイスにインストールされているアプリのバージョンが Google Play に認識されていない。
アプリの完全性 PLAY_RECOGNIZED アプリと証明書が、Google Play で配信されているバージョンと一致します。
UNRECOGNIZED_VERSION 証明書またはパッケージ名が Google Play の記録と一致しません。
UNEVALUATED アプリの完全性は評価されませんでした。デバイスの信頼性が十分でないなど、要件が満たされていませんでした。

Google Play Console で、次の API レスポンスを追加で受け取ることをオプトインできます。

API レスポンス ラベル 説明
デバイスの完全性 MEETS_BASIC_INTEGRITY アプリは、基本的なシステム完全性チェックに合格したデバイスで動作しています。このデバイスは Android の互換性要件を遵守しておらず、Google Play 開発者サービスの実行を承認されていない可能性があります。たとえば、認識されていないバージョンの Android を搭載している、ブートローダーがロック解除されている、メーカーによる認定を受けていない、などの場合があります。
MEETS_STRONG_INTEGRITY アプリは、Google Play 開発者サービスを搭載した Android デバイスで動作しており、システム完全性の強力な保証(ハードウェア格納型のブート完全性保証など)が存在します。このデバイスはシステム完全性チェックに合格し、Android の互換性要件を遵守しています。

追加のラベルの受け取りをオプトインすると、それぞれのラベル条件が満たされている場合、同じデバイスに対する複数のラベルが完全性レスポンスに含まれるようになります。可能性のあるレスポンスの範囲に応じて異なる動作をするようにバックエンド サーバーを準備できます。たとえば、MEETS_STRONG_INTEGRITYMEETS_DEVICE_INTEGRITYMEETS_BASIC_INTEGRITY を返すデバイスは、MEETS_BASIC_INTEGRITY のみを返すデバイスよりも信頼性が高く、それに応じてサーバーの応答方法を調整できます。

PC 版 Google Play Games に配信する場合は、次の API レスポンスの受け取りが自動的にオプトインされます。

API レスポンス ラベル 説明
デバイスの完全性 MEETS_VIRTUAL_INTEGRITY アプリは、Google Play 開発者サービスを搭載した Android Emulator で動作しています。このエミュレータはシステム完全性チェックに合格し、Android の互換性に関する主要な要件を満たしています。

API レスポンスを変更するには、Google Play Console にアクセスし、[リリース] > [アプリの完全性] に移動します。[レスポンス] で編集を行い、変更を保存します。このオプションは、Google Play で公開するアプリでのみ利用できます。また、Google Play Console で、使用している Cloud プロジェクトを Play Integrity API にリンクする必要があります。

クラシック リクエストの設定を構成する(省略可)

標準 API リクエストのみを行う予定の場合は、このセクションをスキップしてください。

クラシック リクエストを実行する場合、Play Integrity API とのやり取りでアプリが使用するレスポンスの暗号化は、デフォルトでは Google Play のサーバーが管理します。このデフォルトの方法を使用することをおすすめしますが、以下の手順でレスポンスの暗号鍵を管理およびダウンロードすることもできます。

レスポンスの暗号化を Google に任せる(デフォルト / 推奨)

アプリのセキュリティを保護するため、レスポンスの暗号鍵の生成と管理を Google で行えるようにすることをおすすめします。バックエンド サーバーが Google Play のサーバーを呼び出してレスポンスを復号します。

レスポンスの暗号鍵を自分で管理、ダウンロードする

独自の安全なサーバー環境内で、完全性判定の結果をローカルで復号する場合は、ご自身でレスポンスの暗号鍵を管理、ダウンロードできます。レスポンスの暗号鍵の管理とダウンロードを行うには、Google Play Console を使用していることと、他の配信チャネルに加えて Google Play でもアプリが公開されている必要があります。レスポンスの暗号鍵の管理方法を Google 管理から自己管理に切り替える手順は次のとおりです。

受け取ったトークンをクライアント アプリ内で復号または検証しないでください。復号鍵は決してクライアント アプリに公開しないでください。

Google Play Console でレスポンスの暗号化の管理方法を変更する前に、サービスの停止を回避するため、完全性トークンの復号と検証が Google Play のサーバーで行われるようにサーバーが正しく構成されていることを確認してください。

レスポンスの暗号鍵の Google 管理とセルフマネージドを切り替える

現在、Google がレスポンスの暗号化を管理している場合に、レスポンスの暗号鍵をご自身で管理、ダウンロードする方法に切り替えるには、次の手順を行います。

  1. Google Play Console にログインします。
  2. Play Integrity API を使用しているアプリを選択します。
  3. 左側のメニューの [リリース] セクションで、[アプリの完全性] に移動します。
  4. [Play Integrity API] の横にある [設定] をクリックします。
  5. そのページの [クラシック リクエスト] セクションで、[レスポンスの暗号化] の横にある [編集] をクリックします。
  6. 表示されたウィンドウで、[レスポンスの暗号鍵を自分で管理、ダウンロードする] をクリックします。
  7. 手順に沿って公開鍵をアップロードします。
  8. アップロードが正常に完了したことがウィンドウに表示されたら、[保存] をクリックします。これにより、暗号化された鍵が自動的にダウンロードされます。
  9. 独自の安全なサーバー環境で、レスポンスの暗号鍵を使用してローカルで完全性トークンの復号と検証を行うように、サーバーのロジックを変更します。
  10. (省略可)レスポンスの暗号鍵をご自身で管理する場合も、アプリは Google Play のサーバーにフォールバックしてレスポンスの復号と検証を行えます。

レスポンスの暗号鍵をご自身で管理している場合に、Google にレスポンスの暗号化の管理を任せる方法に切り替えるには、次の手順を行います。

  1. Google のサーバーのみで復号と検証を行うように、サーバーのロジックを変更します。
  2. Google Play Console にログインします。
  3. Play Integrity API を使用しているアプリを選択します。
  4. 左側のメニューの [リリース] セクションで、[アプリの完全性] に移動します。
  5. [Play Integrity API] の横にある [設定] をクリックします。
  6. そのページの [クラシック リクエスト] セクションで、[レスポンスの暗号化] の横にある [編集] をクリックします。
  7. 表示されたウィンドウで、[レスポンスの暗号化の管理を Google に任せる(推奨)] をクリックします。
  8. [変更を保存] をクリックします。