アドプライバシーQ&A - ブラウザUser-Agent Reductionの技術的詳細とポストCookie時代の広告実装への影響

ブラウザUser-Agent Reductionの技術的詳細とポストCookie時代の広告実装への影響

Tags: User-Agent Reduction, ブラウザプライバシー, 広告技術, データ収集, Client Hints, 技術仕様, 実装

はじめに

近年、ウェブブラウザはユーザープライバシー保護強化のため、様々な変更を実施しています。その一つに、HTTPリクエストヘッダーに含まれるUser-Agent文字列の削減（Reduction）があります。この変更は、ウェブサイトやサービスがユーザーエージェントを通じて取得できる情報量を大幅に制限し、フィンガープリンティングなどのトラッキング手法に対する耐性を高めることを目的としています。

広告技術やデータ収集に関わる多くのシステムは、これまでUser-Agent文字列に含まれるオペレーティングシステム、ブラウザバージョン、デバイスタイプなどの情報を活用してきました。User-Agent Reductionは、これらの情報へのアクセス方法と取得可能なデータの内容に根本的な変更をもたらし、広告配信、測定、不正対策といった多岐にわたる機能に影響を与えます。

本記事では、User-Agent Reductionの技術的な仕様、広告技術における従来のUser-Agent情報の利用実態、そしてこの変更が広告実装に与える具体的な影響について詳細に解説します。また、削減されたUser-Agent情報の代替として推奨されているUser-Agent Client Hints APIの利用方法と、対応策についても技術的な観点から考察します。

User-Agent文字列の削減（Reduction）技術仕様

User-Agent文字列の削減は、特定のブラウザバージョン以降で段階的に実施されています。このプロセスは主に以下の技術的な変更を含みます。

詳細情報の固定化または削除: User-Agent文字列に含まれるブラウザのマイナーバージョン、OSの正確なバージョン、デバイスモデルなどの詳細情報が、汎用的な値に置き換えられたり、完全に削除されたりします。例えば、特定のOSバージョンが一般的なメジャーバージョン表示に留まる、あるいは特定のブラウザバージョンが固定値で報告される、といった変更が発生します。
段階的導入: 一部のブラウザでは、最初はより詳細なUser-Agent情報を提供する「Greylisting」期間を設け、その後完全に削減された文字列に移行するという段階的なアプローチが取られています。これにより、ウェブサイト運営者やサービスプロバイダが対応を準備する猶予が与えられます。
User-Agent Client Hints (UA-CH) APIの導入: User-Agent文字列から詳細情報が削減される代わりに、クライアント（ブラウザ）が必要な情報をサーバーに対して明示的に「ヒント」として提供を要求するメカニズムとして、User-Agent Client Hints APIが導入されました。サーバーはHTTPレスポンスヘッダー（Accept-CH）またはHTMLの<meta>タグで必要なヒントを指定し、ブラウザは後続のリクエストでこれらのヒントをHTTPリクエストヘッダー（Sec-CH-UA-*）として送信します。UA-CHは、Sec-CH-UA (Brand and Version), Sec-CH-UA-Platform (OS), Sec-CH-UA-Mobile (Mobile/Desktop), Sec-CH-UA-Full-Version-List (Full Version of Brands), Sec-CH-UA-Platform-Version (OS Version), Sec-CH-UA-Architecture (CPU Arch), Sec-CH-UA-Model (Device Model), Sec-CH-UA-Bitness (CPU Bitness), Sec-CH-UA-WoW64 (Windows 64-bit on 32-bit) などの様々なヒントを提供可能です。ただし、プライバシー保護の観点から、一部のヒント（High Entropy Client Hintsと呼ばれます）は、ユーザーのインタラクションやPermissions APIによる許可が必要となる場合があります。

削減後のUser-Agent文字列は、ブラウザの種類、主要なバージョン、デスクトップ/モバイルといった基本的な情報に限定され、過去のような詳細なデバイスやOSの識別には利用できなくなります。

広告技術におけるUser-Agent情報の従来の利用実態

広告技術分野では、User-Agent情報は以下のような様々な目的で利用されてきました。

ターゲティング: OSバージョン、ブラウザバージョン、デバイスタイプに基づいて特定のユーザー層に広告を配信する際に利用されました。
測定: キャンペーンの効果測定において、デバイス別、OS別などのセグメントに分けて分析するために利用されました。
クリエイティブ配信: 特定のデバイス（例: スマートフォン、タブレット）やブラウザ（例: 最新版Chrome）に最適化されたクリエイティブを出し分けるために利用されました。
不正対策 (Fraud Prevention): 不自然なUser-Agent文字列や、既知のボットのUser-Agentパターンを検出するために利用されました。
互換性確認: ウェブサイトや広告表示の互換性を、ブラウザやOSのバージョンに基づいて確認するために利用されました。
データ分析: ユーザー行動の分析において、使用されている技術環境の特定に利用されました。

これらの利用ケースにおいて、削減されたUser-Agent文字列では必要な詳細情報が不足するため、機能の維持や代替手法への移行が不可欠となります。

User-Agent Reductionが広告実装に与える影響

User-Agent Reductionは、上記の利用実態に直接的な影響を与えます。

ターゲティング精度の低下: デバイスモデルやOSの正確なバージョンに基づいた詳細なターゲティングが困難になります。特定の最新機能を持つデバイスや、特定の過去バージョンを使用しているユーザーへのターゲティング戦略は再考が必要です。
測定レポートの粒度低下: OSバージョン別、詳細なデバイスタイプ別といった細かいセグメントでの広告効果測定が難しくなります。集計レベルでのレポート分析が主となる可能性があります。
クリエイティブ最適化の制約: 特定のブラウザバージョンやデバイスモデルに依存した高度なクリエイティブ出し分けが困難になる可能性があります。UA-CHを利用することで一部情報は取得可能ですが、利用許可の必要性や対応状況に依存します。
不正対策への影響: 既知のボットパターン検出において、特定のUser-Agent文字列に依存しているロジックは無効化される可能性があります。より高度な行動ベースの検出や、他のシグナルとの組み合わせが重要になります。
互換性確認の難化: 特定のブラウザやOSバージョンのユーザーに問題が発生した場合でも、User-Agent文字列だけでは正確な環境特定が困難になります。UA-CHや他の診断ツールとの組み合わせが必要です。
既存システムの改修: User-Agent文字列をパースして詳細情報を取得・利用している既存のシステム（広告サーバー、SSP, DSP, 分析ツールなど）は、UA-CH APIを利用するように改修が必要となります。これはサーバーサイドだけでなく、クライアントサイド（JavaScriptなど）でのUA-CHの扱いも含まれます。

特に、これまで詳細なUser-Agent情報を無許可で容易に取得できていた状況から、サーバーがブラウザに明示的にヒントを要求し、かつ一部のヒントはユーザー同意や許可が必要となるUA-CHへの移行は、技術的な実装のみならず、同意管理の側面からも考慮が必要となります。

User-Agent Client Hints APIを利用した対応策

削減されたUser-Agent情報の代替として、User-Agent Client Hints APIの利用が推奨されます。以下に、UA-CHの技術的な実装の概要を示します。

サーバーサイドでの対応（推奨ヘッダーの送信）

サーバーは、必要なClient Hintsをブラウザに要求するために、HTTPレスポンスヘッダーに Accept-CH を含めます。

HTTP/1.1 200 OK
Content-Type: text/html
Accept-CH: Sec-CH-UA-Platform, Sec-CH-UA-PlatformVersion, Sec-CH-UA-Model
Vary: Accept-CH, Sec-CH-UA-Platform, Sec-CH-UA-PlatformVersion, Sec-CH-UA-Model

この例では、サーバーはプラットフォーム（OS）、プラットフォームバージョン（OSバージョン）、デバイスモデルのヒントを要求しています。Vary ヘッダーには、レスポンスがこれらのヘッダーの値によって変わりうることを示し、キャッシュの正確性を保つために重要です。

High Entropy Client Hints（例: Sec-CH-UA-PlatformVersion, Sec-CH-UA-Model, Sec-CH-UA-Full-Version-List, Sec-CH-UA-Architecture, Sec-CH-UA-Bitness, Sec-CH-UA-WoW64）は、デフォルトでは送信されません。これらを要求する場合、サーバーは Accept-CH に加えて、特定のオリジンに対してこれらのヒントを永続的に許可する権限ポリシーを示す必要があります。これは、HTTPヘッダーの Permissions-Policy を使用するか、または <meta> タグを使用します。

<meta http-equiv="Accept-CH" content="Sec-CH-UA-Platform, Sec-CH-UA-PlatformVersion">
<meta http-equiv="Delegate-CH" content="Sec-CH-UA-PlatformVersion https://your-analytics-domain.com">

Permissions-Policy ヘッダーまたは <meta> タグによる委譲（Delegate-CH）を使用することで、サードパーティドメイン（例: 広告測定ドメイン、分析ドメイン）でもHigh Entropy Client Hintsを受け取ることが可能になります。ただし、このメカニズムはブラウザによってサポート状況が異なる場合があり、また、ユーザーの同意やサイトの設定が影響する可能性も考慮する必要があります。

クライアントサイドでの対応（JavaScriptによる取得）

UA-CHはHTTPヘッダーとしてサーバーに送信されるのが基本ですが、JavaScriptからアクセスすることも可能です。navigator.userAgentData オブジェクトを通じてUA-CHの値を取得できます。

// Low Entropy Client Hintsの取得例
console.log(navigator.userAgentData.brands); // 例: [{brand: "Google Chrome", version: "120"}, ...]
console.log(navigator.userAgentData.mobile);  // 例: true or false
console.log(navigator.userAgentData.platform); // 例: "Android"

// High Entropy Client Hintsの取得要求例
navigator.userAgentData.getHighEntropyValues([
  "architecture",
  "model",
  "platformVersion",
  "uaFullVersion",
  "fullVersionList",
  "bitness",
  "wow64"
]).then(ua => {
  console.log(ua.architecture);
  console.log(ua.model);
  console.log(ua.platformVersion);
  console.log(ua.uaFullVersion); // 非推奨。代わりにfullVersionListを使用。
  console.log(ua.fullVersionList);
  console.log(ua.bitness);
  console.log(ua.wow64);
}).catch(error => {
  console.error("Failed to get high entropy UA hints:", error);
});

JavaScriptからHigh Entropy Client Hintsを取得する場合も、Permissions Policyによる許可が必要です。また、getHighEntropyValues() は非同期処理であるため、取得タイミングやエラーハンドリングに注意が必要です。広告スクリプトや測定タグ内でこれらの情報を利用する場合、タグが実行される前にヒントが取得できているか、または非同期取得後のコールバックで処理を行うといった設計が求められます。

実装上の考慮事項と課題

UA-CHへの移行にはいくつかの考慮事項と課題が存在します。

後方互換性: User-Agent Reductionが完全に適用されるまでの移行期間では、従来のUser-Agent文字列とUA-CHの両方に対応する必要があります。また、UA-CHをサポートしない古いブラウザへの対応も考慮が必要です。
High Entropy Hintsの利用可否: High Entropy Hintsはプライバシー感度が高いため、取得に制限があります。すべてのサイトや状況で必要な詳細情報を確実に取得できるとは限りません。広告主、媒体社、テクノロジーベンダー間で、どのレベルの情報をどのように共有・利用できるかについて再定義が必要となる場合があります。
パフォーマンス: UA-CHは追加のHTTPヘッダーを必要とするため、リクエストサイズが増加する可能性があります。特に多くのヒントを要求する場合や、多数のサブリソースリクエストが発生する場合に影響が顕在化する可能性があります。また、JavaScriptでHigh Entropy Hintsを非同期取得する場合、情報の利用が可能になるまでに遅延が発生する可能性があります。
サードパーティドメインでの利用: 広告サーバー、測定サーバー、DSP/SSPなどがサードパーティドメインで動作している場合、これらのドメインがClient Hintsを受け取るためには、サイトオーナーによる明示的なPermissions Policyの設定が必要です。これは広告ベンダーだけでなく、サイトオーナー側の技術的な対応も必要とします。
同意管理との連携: High Entropy Client Hintsの利用は、ユーザーの同意（特にGDPRやCCPA/CPRAなどの規制下）と関連付けられる可能性があります。CMP（同意管理プラットフォーム）を通じて、UA-CHの利用に必要な同意を取得し、その同意ステータスを適切にUA-CHの要求・利用プロセスに反映させる仕組みが求められる可能性があります。

まとめ

ブラウザUser-Agent Reductionは、ウェブにおけるデータ収集と利用のあり方を根本的に変える動きの一つです。広告技術に関わる専門家として、この技術仕様を正確に理解し、UA-CH APIを利用した代替手法へのスムーズな移行を実現することが喫緊の課題です。

詳細なUser-Agent情報に依存したターゲティング、測定、不正対策などの機能は、UA-CHや他のプライバシー保護技術と組み合わせて再構築する必要があります。この移行は単なる技術的な改修に留まらず、取得可能なデータの範囲と粒度の変化を受け入れ、ポストCookie時代のプライバシー重視の広告エコシステムに適応するための戦略的な転換でもあります。

今後もブラウザのプライバシー関連の変更は続くと予想され、常に最新の技術仕様と法的要件を把握し、柔軟に対応していく姿勢が求められます。UA-CHの利用、そしてそれが広告技術やデータ戦略に与える影響について深く理解し、具体的な技術実装を進めることが、今後のビジネスの継続性と成長にとって不可欠となるでしょう。