ChromeがSameSite=None Secure設定がないサードパーティクッキーをブロックするように

Chromeブラウザは2020年2月に展開予定のChrome 80より、セキュリティ向上のためにサードパーティー（クロスサイト）Cookieをデフォルトでブロックするようになります。

2020年6月追記：
Googleはクロスサイトクッキーのブロックを進めていましたが、4月3日にCOVID-19の感染拡大を受けて、ブロックをロールバックし、適用を延期することを発表しました。
再適用は2020年7月リリース予定のChrome 84から行われるとのことです。
詳しくは以下のGoogle開発者ブログをご覧ください。
SameSite Cookie の変更の一時的なロールバック
https://developers-jp.googleblog.com/2020/04/samesite-cookie.html
SameSite Cookie規制の再適用
https://blog.chromium.org/2020/05/resuming-samesite-cookie-changes-in-july.html

ページを閲覧するだけの一般ユーザーは気にしなくてよい話題ですが、Cookieを発行しているデベロッパーは影響を受けることとなります。
概要と必要な対応について解説します。

なお、この記事は以下をもとに作成しています。

新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html

サードパーティーCookieをデフォルトでブロック

冒頭で述べたように、Chromeブラウザは2020年2月に展開予定のChrome 80より、後述する「セキュリティを高めるための属性」が設定されていないサードパーティー（クロスサイト）Cookieをデフォルトでブロックするようになります。

サードパーティーCookieとは、発行されたドメインとは別のドメインで機能するCookieのことで、広告やヒートマップなどの計測ツールにも多く使われています。
（一方で、発行サイトと機能するサイトが同じCookieをファーストパーティーCookieと呼びます。単一サイトのログイン維持やGoogleアナリティクスなどが該当します。）

Cookieが他サイトでも機能する状態ですと、Cookieが攻撃サイトに悪用されるなどして、セキュリティ上の懸念があります。

すでにChromeのディベロッパーツールでは、属性が設定されていないクロスサイトCookieを使用している際には以下のような警告が出るようになっています。

2020年2月以降、このような警告が出るCookieをクロスサイトで使用する場合には、次の対応が必要になります。

必要な対応

今後すべてのCookieは特に設定がない場合、ファーストパーティコンテキストからのみアクセスできるSameSite=Laxとして扱われるようになります。（つまりサードパーティでの使用が無効化される）

そのため、サードパーティーコンテキストで使用するCookieでは、以下を設定しておくことが必要です。
・SameSite=None 属性
・Secure属性

SameSite cookieについて詳しくは以下を参照ください。
SameSite cookies explained

対応の対象者

今回の告知内容は、Cookieのディベロッパーに対して影響があるものです。

ユーザー：特に対応は必要ありません。

Cookieのディベロッパー：属性の設定がされていないCookieをクロスサイトで使用したい場合、対応が必要です。

ウェブマスター：クロスサイトで機能するCookieを発行していない場合は対応は不要です。ただし、サイトの機能の一部にサードパーティーCookieを用いている場合、今後も使用するためにはディベロッパーの対応が済んでいるかどうかの確認が必要です。

Cookieを発行している場合には、今後ブラウザのアップデートによりブロックされてしまわないよう対応し、あらかじめテストを行っておく必要があります。

【Webマーケティングセミナー開催中】
SEOやコンテンツマーケティングを中心に、
特に中小サイトが取るべき戦略をわかりやすく解説しています。
定期的に開催していますので、ぜひチェックしてみてください。
→サクラサクマーケティングセミナー一覧