このサービスをデプロイして管理し、Attribution Reporting API または Private Aggregation API の概要レポートを生成します。
Attribution Reporting API または Private Aggregation API からの集計可能レポートを処理する集計サービスをデプロイして管理し、概要レポートを作成します。
実装ステータス
- 集計サービスが一般提供になりました。
- Protected Audience API および Shared Storage の Attribution Reporting API と Private Aggegration API を使用して集計サービスをテストできます。
説明では、集計サービスを理解する際に役立つ主な用語の概要を説明します。
対象
| Proposal | Status |
|---|---|
| Aggregation Service support for Amazon Web Services (AWS) across Attribution Reporting API, Private Aggregation API
Explainer |
Available |
| Aggregation Service support for Google Cloud across Attribution Reporting API, Private Aggregation API Explainer |
Available in beta |
| Aggregation Service site enrollment and mapping of a site to cloud accounts (AWS, or GCP) FAQs on GitHub |
Available |
| The Aggregation Service's epsilon value will be kept as a range of up to 64, to facilitate experimentation and feedback on different parameters.
Submit ARA epsilon feedback. Submit PAA epsilon feedback. |
Available. We will provide advanced notice to the ecosystem before the epsilon range values are updated. |
| More flexible contribution filtering for Aggregation Service queries
Explainer |
Expected Q2 2024 |
| Process for budget recovery post-disasters (errors, misconfigurations, and so on)
GitHub issue |
Expected Q2 2024 |
| Accenture operating as one of the Coordinators on AWS
Developer Blog |
Available |
| Independent party operating as one of the Coordinators on Google Cloud
Developer Blog |
Expected Q3 2024 |
安全なデータ処理
集計サービスは、集計可能レポートから収集されたデータを復号して結合し、ノイズを追加して、最終概要レポートを返します。このサービスは、このデータを保護するために必要なセキュリティ対策をサポートするクラウド サービスにデプロイされる高信頼実行環境(TEE)で実行されます。
TEE のコードは、集計サービス内で未加工のレポートにアクセスできる唯一の場所です。このコードは、セキュリティ研究者、プライバシー アドボケイト、広告テクノロジーによって監査されます。TEE が承認済みのソフトウェアを正確に実行していて、データが保護されていることを確認するために、コーディネーターは構成証明を実行します。
TEE のコーディネーター証明書
コーディネーターは、鍵の管理と集計可能レポートの会計を担うエンティティです。
コーディネーターには、次のような役割があります。
- 承認済みのバイナリ イメージのリストを管理する。これらのイメージは、Google が定期的にリリースする集計サービス ソフトウェアのビルドの暗号ハッシュです。これは再現可能であり、すべての当事者がイメージが集計サービスのビルドと同一であることを確認できます。
- 鍵管理システムを運用する。ユーザーのデバイス上の Chrome で集計可能レポートを暗号化するには、暗号鍵が必要です。復号鍵は、集計サービスのコードがバイナリ画像と一致することを証明するために必要です。
- 集計可能レポートを追跡して、サマリー レポートの集計での再利用を防ぎます。再利用すると個人識別情報(PII)が漏洩する可能性があるためです。
「重複なし」ルール
攻撃者は、特定の集計可能レポートの内容を分析するために、レポートのコピーを複数作成し、それらのコピーを 1 つまたは複数のバッチに含める場合があります。このため、集計サービスは「重複なし」ルールを適用します。
- バッチ: 集計可能レポートは、バッチ内に 1 回だけ表示できます。
- バッチ間: 集計可能レポートを複数のバッチで表示することや、複数の概要レポートに含めることはできません。
これを行うために、ブラウザは各集計可能レポートに共有 ID を割り当てます。ブラウザは、API バージョン、レポート送信元、宛先サイト、ソース登録時間、スケジュールされたレポート時間などの複数のデータポイントから共有 ID を生成します。このデータはレポートの shared_info フィールドから取得されます。
集計サービスは、同じ共有 ID を持つすべての集計可能レポートが同じバッチ内にあることを確認し、共有 ID が処理されたことをコーディネーターに報告します。同じ ID で複数のバッチが作成された場合、集計に使用できるバッチは 1 つのみで、他のバッチは拒否されます。
デバッグ実行を実行する場合、バッチに「no duplicates」ルールは適用されません。つまり、デバッグ実行で以前のバッチのレポートが表示されることがあります。ただし、バッチ内では引き続きルールが適用されます。これにより、本番環境での将来の処理を制限することなく、サービスとさまざまなバッチ処理戦略を試すことができます。
ノイズとスケーリング
ユーザーのプライバシーを保護するため、集計サービスは、集計可能レポートの元データに加法ノイズ メカニズムを適用します。つまり、サマリー レポートに出力される前に、各集計値に一定量の統計ノイズが追加されます。
ノイズを追加する方法を直接制御することはできませんが、測定データに対するノイズの影響に影響を与えることができます。
ノイズ値は、ラプラス確率分布からランダムに取得されます。この分布は、集計可能レポートで収集されるデータの量に関係なく同じになります。収集するデータが多いほど、ノイズがサマリー レポートの結果に与える影響は小さくなります。集計可能レポートデータにスケーリング ファクタを乗算すると、ノイズの影響を軽減できます。
ノイズの追加方法やコントロール、レポートへの影響については、ノイズの活用の資金提供予算と資金提供予算にスケールアップするをご覧ください。
概要レポートを生成する
概要レポートの生成は API の使用状況によって異なります。概要レポートの生成について詳しくは、Private Aggregation API と Attribution Reporting API をご覧ください。
集計サービスをテストする
テストする各 API の対応するガイドを読むことをおすすめします。
AWS で集計サービスをテストするには、こちらの手順をご覧ください。
Attribution Reporting と Private Aggregation API の集計可能レポートを処理するために、ローカルテストツールも使用できます。
Aggregation Service Load Testing Framework は、推奨されるテスト フレームワークを提供します。
交流とフィードバックの共有
集計サービスは、プライバシー サンドボックスの測定 API の重要な要素です。他のプライバシー サンドボックス API と同様に、GitHub でドキュメント化され、一般公開されています。
- GitHub: 説明を読み、質問を投稿し、ディスカッションに参加してください。また、集計サービスの実装を確認し、実装に関するフィードバックをお寄せください。
- デベロッパー サポート: プライバシー サンドボックス デベロッパー サポート リポジトリで質問したり、ディスカッションに参加したりできます。