モバイル エコシステムでは、不正行為は収益、成長、ユーザーの信頼を脅かす可能性があります。デベロッパーの成功を支援するため、Google Play は堅牢な脅威検出サービスである Play Integrity API を提供しています。Play Integrity API を使用すると、インタラクションやサーバー リクエストが、認定 Android デバイス上の改変されていないアプリ（Google Play によってインストールされたもの）から送信された、正当なものであることを検証できます。

その効果は大きく、Google Play Integrity の機能を使用しているアプリは、他のアプリと比較してアプリの不正使用が平均で 80% 少なくなっています。現在、Uber、TikTok、Stripe、Kabam、Wooga、Radar.com、Zimperium、Paytm、Remini など、さまざまなカテゴリのリーダーが、ビジネスの保護に役立てています。

Google は、Play Integrity API の改善を続けています。統合を容易にし、高度な攻撃に対する耐性を高め、完全性基準を満たしていないユーザーやエラーが発生したユーザーを新しい Google Play のアプリ内修復プロンプトで復元しやすくしています。

ビジネスに対する脅威を検出する

Play Integrity API は、重要な操作中に収益に影響を与える特定の脅威を検出するように設計された判定結果を提供します。

• 不正アクセス: accountDetails の判定結果は、ユーザーが Google Play でアプリやゲームをインストールしたか、またはアプリやゲームに課金したかを判断するのに役立ちます。
• コードの改ざん: appIntegrity の判定結果は、Google Play で認識される改変のないバイナリとやり取りしているかどうかを判断するのに役立ちます。
• 危険なデバイス、エミュレートされた環境: deviceIntegrity の判定結果は、アプリが正規の Google Play プロテクト認定済み Android デバイスまたは PC 版 Google Play Games の正規のインスタンスで実行されているかどうかを判断するのに役立ちます。
• パッチが適用されていないデバイス: Android 13 以降を搭載したデバイスの場合、deviceIntegrity 判定結果の MEETS_STRONG_INTEGRITY レスポンスは、デバイスに最新のセキュリティ アップデートが適用されているかどうかを判断するのに役立ちます。deviceAttributes を有効にして、証明書付きの Android SDK バージョンをレスポンスに含めることもできます。
• 他のアプリからの危険なアクセス: appAccessRiskVerdict は、ユーザー補助の権限の不正使用などによって、画面のキャプチャ、オーバーレイの表示、デバイスの操作に使用される可能性のあるアプリが実行されているかどうかを判断するのに役立ちます。この判定では、ユーザー補助を目的とするアプリは自動的に除外されます。
• 既知のマルウェア: playProtectVerdict は、Google Play プロテクトがオンになっているかどうか、および危険なアプリのインストールがデバイスで検出されたかどうかを判断するのに役立ちます。
• 異常に多いアクティビティ: recentDeviceActivity のレベルは、デバイスが異常に多くの完全性トークン リクエストを最近送信したかどうかを判断するのに役立ちます。リクエストが異常に多い場合は、自動生成トラフィックや攻撃によるものである可能性があります。
• 不正行為の繰り返し、再利用されているデバイス: deviceRecall（ベータ版）は、アプリの再インストールやデバイスのリセットを行った後でも、以前にフラグを設定したデバイスとやり取りしているかどうかを判断するのに役立ちます。デバイスの呼び出しでは、トラッキングする繰り返し操作をカスタマイズできます。

この API は、スマートフォン、タブレット、折りたたみ式デバイス、Android Auto、Android TV、Android XR、ChromeOS、Wear OS などのさまざまな Android フォーム ファクタと、PC 版 Google Play Games に使用できます。

Play Integrity API を最大限に活用する

アプリやゲームは、セキュリティに関する考慮事項に沿って、不正使用対策戦略を段階的に導入することで、Play Integrity API を活用しています。

ステップ 1: 保護する対象を決める: アプリやゲームで検証と保護が重要なアクションとサーバー リクエストを決めます。たとえば、ユーザーがアプリを起動したとき、ログインしたとき、マルチプレイヤー ゲームに参加したとき、AI コンテンツを生成したとき、送金したときなどに、完全性チェックを実行できます。

ステップ 2: 完全性判定の結果の収集を開始する: 重要なタイミングで整合性チェックを実行し、最初は強制適用せずに判定データの収集を開始します。これにより、インストール ベースの回答を分析し、既存の不正行為シグナルや過去の不正行為データとの関連性を確認できます。

ステップ 3: 実施戦略を決定する: 回答の分析と保護対象に基づいて、実施戦略を決定します。たとえば、重要な瞬間にリスクの高いトラフィックを変更して、機密性の高い機能を保護できます。API はさまざまなレスポンスを提供するため、レスポンスの各組み合わせに付与する信頼レベルに基づいて、階層化された適用戦略を実装できます。

ステップ 4: 段階的に適用し、ユーザーをサポートする: 段階的に適用します。判定に問題がある場合や判定を利用できない場合に備えて再試行戦略を用意し、問題が発生した正当なユーザーをサポートする準備を整えてください。以下で説明する新しい Google Play のアプリ内修復プロンプトを使用すると、問題が発生したユーザーを以前の状態に簡単に戻すことができます。

新機能: 問題が発生したユーザーを Google Play が自動的に復元

さまざまな完全性シグナルにどのように対応するかを決定するのは複雑な場合があります。さまざまな完全性レスポンスと API エラーコード（ネットワークの問題や古い Play 開発者サービスなど）を処理する必要があります。このプロセスを簡素化するため、新しい Google Play のアプリ内修正プロンプトを導入します。Google Play のプロンプトをユーザーに表示して、アプリ内でさまざまな問題を自動的に修正できます。これにより、統合の複雑さが軽減され、一貫性のあるユーザー インターフェースが確保され、より多くのユーザーが良好な状態に戻ることができます。

GET_INTEGRITY は、問題を自動的に検出し（この例ではネットワーク エラー）、解決します。

Play Integrity API ライブラリ バージョン 1.5.0 以降で利用可能な  GET_INTEGRITY ダイアログは、さまざまな問題が発生した後にトリガーできます。このダイアログでは、次のような必要な修正をユーザーに自動的に案内します。

• 不正アクセス: GET_INTEGRITY は、ユーザーを accountDetails の Play ライセンス付きレスポンスに誘導します。
• コードの改ざん: GET_INTEGRITY は、ユーザーを appIntegrity の Play 認識済みレスポンスに誘導します。
• デバイスの完全性に関する問題: GET_INTEGRITY は、deviceIntegrity で MEETS_DEVICE_INTEGRITY 状態に戻る方法をユーザーに示します。
• 修復可能なエラーコード: GET_INTEGRITY は、ネットワーク接続の修正や Google Play 開発者サービスの更新をユーザーに求めるなど、修復可能な API エラーを解決します。

また、 GET_STRONG_INTEGRITY（GET_INTEGRITY と同様に動作し、playProtectVerdict で既知のマルウェアの問題がない状態でユーザーを MEETS_STRONG_INTEGRITY 状態に戻します）、GET_LICENSED（ユーザーを Google Play のライセンスが付与され、Google Play で認識された状態に戻します）、CLOSE_UNKNOWN_ACCESS_RISK と CLOSE_ALL_ACCESS_RISK（潜在的にリスクのあるアプリを閉じるようユーザーに促します）などの専用ダイアログも提供しています。

最新の完全性ソリューションを選択する

Google は、Play Integrity API に加えて、不正使用対策戦略の一環として検討できるその他の機能も提供しています。Play Integrity API と Google Play の自動保護はどちらも、アプリの配布を保護するためのユーザー エクスペリエンスとデベロッパーのメリットを提供します。既存のアプリでは、以前の Play ライセンス ライブラリを使用する代わりに、これらの最新の完全性ソリューションに移行することをおすすめします。

自動保護: Google Play の自動保護で不正なアクセスを防ぎ、ユーザーが公式アプリのアップデートを継続して受け取れるようにします。この機能を有効にすると、Google Play がアプリのコードにインストーラ チェックを自動的に追加します。デベロッパーによる統合作業は必要ありません。保護されたアプリが別のチャネルで再配布または共有された場合、ユーザーには Google Play からアプリを入手するよう求めるメッセージが表示されます。対象となる Google Play デベロッパーは、Google Play の高度な改ざん対策も利用できます。この機能では、難読化とランタイム チェックを使用して、攻撃者が保護されたアプリを改変して再配布することを困難にし、コストを増大させます。

Android プラットフォーム キー構成証明: ハードウェア格納型Android プラットフォーム キー構成証明を利用するには、Play Integrity API を使用することをおすすめします。Play Integrity API はデバイス エコシステム全体で基盤となる実装を処理し、Play はキー関連の問題や停止を自動的に軽減します。また、API を使用して他の脅威を検出することもできます。Play Integrity API に依存せずにキー構成証明を直接実装しているデベロッパーは、2026 年 2 月に予定されている Android プラットフォームのルート証明書のローテーションに備えて、中断を回避する必要があります（Play Integrity API を使用しているデベロッパーは対応不要です）。

Firebase App Check: Firebase を使用しているデベロッパーは、Firebase App Check を使用して、認定済みの Android デバイスで Play Integrity API を利用したアプリとデバイスの完全性判定の結果と、他のプラットフォーム証明書プロバイダからのレスポンスを受け取ることができます。その他のすべての脅威を検出し、他の Google Play 機能を使用するには、Play Integrity API を直接統合します。

reCAPTCHA Enterprise: 不正行為と bot の管理ソリューションを求めるエンタープライズのお客様は、モバイル向けの reCAPTCHA Enterprise を購入できます。reCAPTCHA Enterprise は、Play Integrity API の不正防止シグナルの一部を使用し、それらを reCAPTCHA シグナルと組み合わせてすぐに利用できます。

今すぐビジネスを保護する

ハードウェア格納型セキュリティを基盤とし、統合を簡素化する新しい自動修復ダイアログを備えた Play Integrity API は、成長を保護するための不可欠なツールです。

Play Integrity API のドキュメントをご覧ください。