このサービスをデプロイして管理し、Attribution Reporting API または Private Aggregation API の概要レポートを生成します。
Attribution Reporting API または Private Aggregation API からの集計可能レポートを処理する集計サービスをデプロイして管理し、概要レポートを作成します。
実装ステータス
- 集計サービスが一般提供になりました。
- Protected Audience API および Shared Storage の Attribution Reporting API と Private Aggegration API を使用して集計サービスをテストできます。
説明では、集計サービスを理解する際に役立つ主な用語の概要を説明します。
対象
| 提案 | ステータス |
|---|---|
| Attribution Reporting API と Private Aggregation API にわたるアマゾン ウェブ サービス(AWS)の集計サービス
説明 |
利用可能 |
| Attribution Reporting API、Private Aggregation API にわたる Google Cloud の集計サービスのサポート 説明 |
ベータ版で提供 |
| 集約サービスサイトの登録と、サイトからクラウド アカウント(AWS または GCP)へのマッピング GitHub のよくある質問 |
利用可能 |
| さまざまなパラメータのテストとフィードバックを容易にするために、集計サービスの epsilon 値は最大 64 の範囲として保持されます。 ARA イプシロンに関するフィードバックを送信します。 PAA イプシロン フィードバックを送信します。 |
利用できます。イプシロン範囲の値が更新される前に、エコシステムに事前に通知します。 |
| 集計サービスのクエリに対する貢献度のフィルタリングの柔軟性が向上
説明 |
2024 年第 2 四半期予定 |
| 障害後の予算回復のプロセス(エラー、構成ミスなど)
GitHub の問題 |
2024 年第 2 四半期予定 |
| AWS のコーディネーターの 1 人として活動する Accenture デベロッパー ブログ |
利用可能 |
| Google Cloud のコーディネーターの 1 人として活動する独立当事者 デベロッパー ブログ |
2024 年第 3 四半期予定 |
安全なデータ処理
集計サービスは、集計可能レポートから収集されたデータを復号して結合し、ノイズを追加して、最終概要レポートを返します。このサービスは、このデータを保護するために必要なセキュリティ対策をサポートするクラウド サービスにデプロイされる高信頼実行環境(TEE)で実行されます。
TEE のコードは、集計サービス内で未加工のレポートにアクセスできる唯一の場所です。このコードは、セキュリティ研究者、プライバシー アドボケイト、広告テクノロジーによって監査されます。TEE が承認済みのソフトウェアを正確に実行していて、データが保護されていることを確認するために、コーディネーターは構成証明を実行します。
TEE のコーディネーター証明書
コーディネーターは、鍵の管理と集計可能レポートの会計を担うエンティティです。
コーディネーターには、次のような役割があります。
- 承認済みのバイナリ イメージのリストを管理する。これらのイメージは、Google が定期的にリリースする集計サービス ソフトウェアのビルドの暗号ハッシュです。これは再現可能であり、すべての当事者がイメージが集計サービスのビルドと同一であることを確認できます。
- 鍵管理システムを運用する。ユーザーのデバイス上の Chrome で集計可能レポートを暗号化するには、暗号鍵が必要です。復号鍵は、集計サービスのコードがバイナリ画像と一致することを証明するために必要です。
- 集計可能レポートを追跡して、サマリー レポートの集計での再利用を防ぎます。再利用すると個人識別情報(PII)が漏洩する可能性があるためです。
「重複なし」ルール
攻撃者は、特定の集計可能レポートの内容を分析するために、レポートのコピーを複数作成し、それらのコピーを 1 つまたは複数のバッチに含める場合があります。このため、集計サービスは「重複なし」ルールを適用します。
- バッチ: 集計可能レポートは、バッチ内に 1 回だけ表示できます。
- バッチ間: 集計可能レポートを複数のバッチで表示することや、複数の概要レポートに含めることはできません。
これを行うために、ブラウザは各集計可能レポートに共有 ID を割り当てます。ブラウザは、API バージョン、レポート送信元、宛先サイト、ソース登録時間、スケジュールされたレポート時間などの複数のデータポイントから共有 ID を生成します。このデータはレポートの shared_info フィールドから取得されます。
集計サービスは、同じ共有 ID を持つすべての集計可能レポートが同じバッチ内にあることを確認し、共有 ID が処理されたことをコーディネーターに報告します。同じ ID で複数のバッチが作成された場合、集計に使用できるバッチは 1 つのみで、他のバッチは拒否されます。
デバッグ実行を実行する場合、バッチに「no duplicates」ルールは適用されません。つまり、デバッグ実行で以前のバッチのレポートが表示されることがあります。ただし、バッチ内では引き続きルールが適用されます。これにより、本番環境での将来の処理を制限することなく、サービスとさまざまなバッチ処理戦略を試すことができます。
ノイズとスケーリング
ユーザーのプライバシーを保護するため、集計サービスは、集計可能レポートの元データに加法ノイズ メカニズムを適用します。つまり、サマリー レポートに出力される前に、各集計値に一定量の統計ノイズが追加されます。
ノイズを追加する方法を直接制御することはできませんが、測定データに対するノイズの影響に影響を与えることができます。
ノイズ値は、ラプラス確率分布からランダムに取得されます。この分布は、集計可能レポートで収集されるデータの量に関係なく同じになります。収集するデータが多いほど、ノイズがサマリー レポートの結果に与える影響は小さくなります。集計可能レポートデータにスケーリング ファクタを乗算すると、ノイズの影響を軽減できます。
ノイズの追加方法やコントロール、レポートへの影響については、ノイズの活用の資金提供予算と資金提供予算にスケールアップするをご覧ください。
概要レポートを生成する
概要レポートの生成は API の使用状況によって異なります。概要レポートの生成について詳しくは、Private Aggregation API と Attribution Reporting API をご覧ください。
集計サービスをテストする
テストする各 API の対応するガイドを読むことをおすすめします。
AWS で集計サービスをテストするには、こちらの手順をご覧ください。
Attribution Reporting と Private Aggregation API の集計可能レポートを処理するために、ローカルテストツールも使用できます。
Aggregation Service Load Testing Framework は、推奨されるテスト フレームワークを提供します。
交流とフィードバックの共有
集計サービスは、プライバシー サンドボックスの測定 API の重要な要素です。他のプライバシー サンドボックス API と同様に、GitHub でドキュメント化され、一般公開されています。
- GitHub: 説明を読み、質問を投稿し、ディスカッションに参加してください。また、集計サービスの実装を確認し、実装に関するフィードバックをお寄せください。
- デベロッパー サポート: プライバシー サンドボックス デベロッパー サポート リポジトリで質問したり、ディスカッションに参加したりできます。