メインコンテンツまでスキップ

UID2 Private Operator Integration Overview

Private Operator をホストする UID2 参加者は、自身のローカル UID2 Operator サービスに、自社のファーストパーティ directly identifying information (DII) を送信します。この Operator は、プライベート環境で実行されます。

Private Operator は enclave—不正アクセスを防ぐための追加のセキュリティ機能を備えた仮想マシンで実行されます。このため、不正な個人は仮想マシンから構成情報やデータをダウンロードできません。

Private Operator になるには、いくつかの追加ステップが必要で、参加者用意しなければならないリソースがあります。

UID2 フレームワークが Private Operator 向けに提供する機能、利点、ホスティング オプション、ドキュメントとその他のリソース、および開始方法について説明します。

注記

このページは Private Operator についての情報です。Public Operator についての情報、または Operator が何であるか、Operator の違いがわからない場合は、UID2 Operator を参照してください。

Private Operator Benefits

Private Operator に参加するメリットは次のとおりです。

  • 顧客のデータを暗号化し、選択したパートナー間でアクティブ化するためのプライバシーに配慮したワークフローを維持できます。

  • 自社のファーストパーティ directly identifying information (DII) を共有することなく、UID2 に参加できます。

    Private Operator ソリューションないでは、DII が自社のインフラストラクチャを離れることはありません。

  • UID2 のためのリソース、パフォーマンス、およびレイテンシを完全に制御できます。たとえば:

    • 制限なしで、より高い可用性を提供できます。
    • Public Operator のインスタンスが近くにない場合、レイテンシの理由から Private Operator ソリューションをホストすることがあります。

  • 地域に近いサービスを提供できるサービスを使用して、ネットワークホップを最小限に抑えることができます。

  • シェアード サービスに参加する代わりに、自社でコントロールできるプロセスとポリシーを実装できます。

レイテンシに関する懸念が大きい場合、またはセキュリティ要件がデータが自社のシステム内に留まることを求める場合、さらに UID2 の実装を構築および維持するためのエンジニアリソースが豊富な場合、Private Operator ソリューションを検討することができます。

Private Operator Requirements

参加者は、Private Operator インスタンスをホスト、構成、維持、および更新し、厳格なセキュリティ対策に準拠する必要があります。インテグレーションを行い、継続的な更新を行うためにエンジニアリソースが必要です。

Private Operator インスタンスをホストするためには、契約を結ぶ必要があります。契約は、Account Setup を参照してください。

注記

Privaet Operator は、Public Operator または他の Private Operator によって処理された raw UID2 または UID2 Token の内容を見ることはできません。各 Private Operator は他のすべての Operator から隔離されています。

Hosting Options for Private Operators

Private Operator を選択する場合、いくつかの実装オプションが利用可能です。UID2 は、以下のクラウドサービスプロバイダーで UID2 を enclave にホストすることをサポートしています (実装には中程度の労力が必要です):

Private Operator Workflow

Private Operator の基本的なワークフローは次のとおりです:

  1. 起動時に Private Operatorは、Core service との認証プロセスを実行します。認証プロセスは、Operator が安全な信頼された実行環境 (TEE) で実行されていること、およびその環境が改ざんされていないことを検証します。

  2. Operator が認証プロセスに合格すると、Core Service は、起動に必要な情報を取得するための安全な S3 URL を Private Operator に提供します。

  3. Private Operator は、UID2 の処理に必要な情報 (ソルト、暗号化キー、およびユーザーのオプトアウトレコードなど) を Amazon S3 から取得します。セキュリティの詳細は、Private Operator Security を参照してください。

  4. Operator が再起動されると、再度認証プロセスを実行し、新しいセキュリティ情報を取得します。

  5. Operator は Core Service での認証プロセスを定期的に再実行し、引き続き保護された環境で実行されていることを確認します。認証に失敗した場合、Operator はシャットダウンします。

Private Operator Security

サポートされる Private Operator 実装は、厳格なセキュリティ基準を満たす必要があります。セキュリティに関するいくつかのポイントは次のとおりです:

  • Private Operator は、Hosting Options for Private Operators に記載されているサポートされるクラウドプロバイダーのいずれかでホストされているハードウェアベースの信頼された実行環境 (TEE) で実行されます。
  • Private Operator は、UID2 の処理に必要な情報にアクセスする前に、認証プロセスを完了する必要があります。
  • S3 から取得された情報は、保存中および転送中に TLS によって暗号化されています。さらに、アクセスは正しく認証された Private Operator にのみ制限されています。
  • 起動時に取得された情報は、いかなる時点でもローカルに保存されません。情報は常にメモリに保持され、Private Operator は、Operator を実行している人 (管理者など) および外部の関係者がメモリ内のデータを見ることが困難な保護された環境で実行されています。
  • Private Operator は、処理のために送信された DII (メールアドレスや電話番号) を保存しません。データは UID2 を生成するために enclave 内でのみ使用され、処理後すぐに破棄されます。

Private Operator Limitations

Private Operator にはいくつかの制限があります:

  • Private Operator は、現在、client-side integration をサポートしていません。
  • Private Operator の更新は、年に 3 回リリースされます; Public Operator の更新は、より頻繁にリリースされます。

Private Operator Deprecation Schedule

サポートされるバージョンと廃止時期は、Private Operator Versions を参照してください。

Private Operator Upgrade Policy

セキュリティと運用の整合性を維持するため、古いオペレーターのバージョンは12ヶ月後に無効化され、影響を受けるデプロイメントがシャットダウンまたは起動に失敗する可能性があります。最新のセキュリティと機能強化を使用するために、アップグレードを推奨します。中断を避けるために、積極的なアップグレードを推奨します。

注記

重要なセキュリティまたは運用上の問題、または契約条件が適用される場合、プライベートオペレーターに対してより厳しいアップグレードタイムラインを適用する権利を留保します。

Keeping the Operator Key Secure

Operator Key を安全に保つためのガイドラインを以下に示します:

  • Operator Key を受け取ったら、安全な場所に保管してください。
  • キーが使用されているすべての場所を把握しておき、キーをローテーションする必要がある場合に迅速に対応できるようにしてください。
  • キーが漏洩した場合に備えて、既存の値を新しい値に置き換えるプロセスを確立してください。
  • 定期的なサイクル(例えば、毎年)でキーをローテーションし、キーが漏洩するリスクを軽減してください。

Getting Started

Private Operator を開始するには、次の手順に従います:

  1. UID2 へのアクセスをリクエストします。Request Access ページのフォームに記入します。

  2. 使用する実装オプションを決定します。

    利用可能なオプションの詳細は、Hosting Options for Private Operators を参照してください。

  3. SDK を使用している場合は、SDK をダウンロードします。該当する SDK ガイドを参照してください。

  4. 選択したオプションの実装ガイドに従います。

    注記

    UID2 へのリクエストメッセージは必ず暗号化してください。詳細は、Encrypting Requests and Decrypting Responses を参照してください。

  5. テストします。

  6. 本番環境に移行します。

Implementation Resources

UID2 の Private Operator 向けの実装リソースは次のとおりです。

Private Operator のバージョン間に機能的な違いはありません。

Integration TypeDocumentationContent Description
AWSUID2 Private Operator for AWS Integration GuideAWS Marketplace の Private Operator Service の設定方法。
GCP Confidential SpaceUID2 Private Operator for GCP Integration GuideGoogle Cloud Platform の機密コンピューティング オプションである Confidential Space に UID2 Operator Service を設定する方法。
AzureUID2 Private Operator for Azure Integration GuideMicrosoft Azure の機密コンピューティング オプションである Confidential Containers インスタンスで UID2 Operator Service を設定する方法。
AKSUID2 Private Operator for AKS Integration GuideAKS のインスタンスで UID2 Operator Service を設定する方法。AKS は、Microsoft Azure コンテナインスタンスの仮想ノードで実行され、Kubernetes を使用する機密コンピューティングソリューションです。