ひと昔前までは、Webサイトにログインする際にID・パスワードを入力した後、メールで送られた認証コードをWebページで入力し、本人確認を行う手法が一般的でした。
しかし、近年では無料で誰もが手軽に作れる「フリーメールアドレス」サービスの普及により、メールアドレスの作成や複数所有が容易になりつつあります。
こうした背景から、現在注目されているのが「SMS認証」です。
近年、多くの企業がWebサービスやアプリでSMS認証を導入しています。パスワード流出やアカウント乗っ取りといった不正が社会問題となる中、シンプルで確実な認証手段としてSMS認証の重要性が高まっています。
本記事では、幅広い場面で活用されるSMS認証の仕組みやメリット、導入時のポイントについてわかりやすく解説します。
SMS認証とは
SMS認証とは、ユーザーが何かのサイトへのログインや各種手続きをする際に、SMS(ショートメッセージ)で携帯電話番号宛に数字などの認証コードを送付して本人確認を行う仕組みです。
ユーザーがサイトへのログインや手続きを行う際に、事前に登録した携帯電話番号宛に認証コードがSMSで届きます。
届いた数字などの認証コードを入力し、コードが一致するとログインや手続きが完了します。
SMS認証はシンプルな仕組みになっているため、汎用的な認証方法として企業に広く採用されています。
※以下の図はSMS認証手順のイメージ図です
SMS認証の利用が注目されている理由
SMS認証はなぜ企業に注目されているのでしょうか?ここでは、SMS認証が企業に注目されている理由をご紹介いたします。
セキュリティの向上
何かのサービスへログインするとき、一般的にはIDとパスワードを入力することでログインできますが、これだけではセキュリティは万全とはいえません。
従来のID・パスワードのみの認証では、ID・パスワードが盗まれてしまった場合に他人でも容易にログインできるようになってしまいます。
そこで企業はSMS認証を導入することで、IDとパスワードに加えてキャリアと契約している本人の携帯電話に認証コードを送ることができるので、本人確認手段としての信頼性がより高めることができます。
これにより、仮にパスワードが漏洩しても不正アクセスを防ぐ強固なセキュリティを確保できるようになります。
SMSの到達率の高さ
SMS認証が企業に注目されている理由の1つに、SMSの到達率の高さがあります。
国内では主要キャリアのネットワークを通じて配信されるため、メールと比較しても迷惑フォルダに振り分けられる心配が少なく、ユーザーの端末へ確実に届きやすい点が特長です。
認証コードを迅速に届けられるだけでなく、認証完了率の向上にもつながることから、多くの企業がSMS認証を採用しています。
導入や利用における手軽さ
SMS認証は携帯電話の標準機能であるSMSを使うため、ユーザーは新しいアプリのインストールや複雑な設定が一切不要です。
また、企業側も既存のシステムとSMS送信サービスを連携させるだけで認証機能を実装できるため、新たなインフラ整備や大掛かりな開発を行うことなく、スムーズな本人確認の仕組みを導入できる点も高く評価されています。
なお、一部の携帯電話の契約プランやデータ専用SIMの場合、SMSが利用できないケースがあるため、事前の確認が必要です。
「2段階認証」と「2要素認証」の違いは?
2要素認証とは、複数の認証を組み合わせることでより強固なセキュリティを築く認証方法です。最近では多要素認証と呼ばれることも多くなっています。
まず、本人かどうかを確認するために使う情報(要素)は3種類あります。
パスワードなどの「知識情報」、ICカードなどの「所持情報」、指紋などの「生体情報」の3つです。
従来のIDとパスワードを使ったログインは、「知識情報」を利用した認証を1回行ったものになります。
例えばここに追加して「秘密の質問への回答」などを行う場合はこれも「知識情報」になります。パスワードと秘密の質問で2回とも「知識情報」の認証を行いました。このように同じ要素で2回認証を行うことを「2段階認証」といいます。
しかし追加で行う認証が「SMSで認証コードを送る」場合はスマートフォンの所持を確認することになるため、これは「所持情報」の認証に該当します。こちらも2回認証を行っていますが、「知識情報」と「所持情報」の二つの要素が使われています。これが「2要素認証」です。
つまり2段階認証よりも、2要素認証を用いる方がより安全になります。
SMS認証の仕組み
ここでは、SMS認証の仕組みについてユーザー側と企業側に分けてご紹介いたします。
受信者側の場合(ユーザー側)
- サイトやアプリなどのログイン画面にてID・パスワードを入力する
- 認証画面で携帯電話番号を入力し、SMSを受信する
- SMSに記載されている認証コードを認証画面に入力する
- コードが一致すると認証が完了する
なお事前に携帯電話番号を登録している場合、認証コードは事前に登録済みの携帯電話番号宛に送信される場合もあります。
送信者側の場合(企業側)
- システムでユーザーからの認証要求を受信する
- APIを通じて、システムからSMS送信サービスに認証要求を送信
- SMS送信サービスが一時的な認証コードを送信する
- ユーザーが認証コードを入力
- データと照合し、コードが一致すると認証が完了する
API連携でSMS送信サービスを自社に取り入れよう
仕組みとしてはとてもシンプルなSMS認証ですが、Webサイトやアプリは基本24時間365日稼働が前提。この作業を人が行うのは現実的ではありません。
ゆえに、WebサイトにおけるSMS認証の仕組みは、システムから自動送信するのが一般的です。
ただ、自社でSMS送信システムを構築するのは費用や時間、保守など多くの課題が発生します。
その際に便利なのが「SMS送信サービス」です。SMS送信サービスは、メッセージの送信から結果取得までを行うWebサービスです。多くのSMS送信サービス事業者は、APIを提供しています。SMS認証を導入したいWebサービスとSMS送信サービスをAPI経由で連携することにより、自社でSMS送信システムを構築する必要はなくなります。
「SMS認証を用いた2段階認証」については「今さら聞けないSMS認証(2段階認証)活用のポイント」の記事もぜひご参照ください。
SMS認証を導入するメリット
セキュリティ強化に効果があるSMS認証ですが、企業にとってもユーザーの個人情報を守ること以外にも様々な利点があります。
ここでは、SMS認証を導入するメリットについて紹介します。
不正アクセス(ログイン)防止
前述でも触れたようにIDとパスワードだけでのログインではこれらの情報が漏洩してしまった場合、誰でも簡単に不正アクセスできてしまうため、セキュリティ面で優れているとはいえません。
しかし、SMS認証を導入し2段階認証にすることで、サービスのセキュリティを高めることができ、ユーザーの信頼も得ることができます。
フリーメールアドレスによる不正登録を防止
IDとパスワードだけでユーザーを管理することで起きてしまう問題は不正登録です。例えば、登録することで商品の購入やサービスで利用できるポイントを、1人1回に限りプレゼントするキャンペーンを行ったとしましょう。ここでの認証は、登録方法をメールアドレスと、任意のパスワードだけにしたとします。
すると、1人1回にもかかわらず複数のフリーメールを使い、何度でもプレゼントを受け取るという不正登録が行われるのです。
また、フリーメールで複数登録されたアカウントは、ポイントを使い終えたら放置や解約される可能性も高いため、企業にとっての顧客となるユーザーとはいえません。
対してSMSは、電話番号へメッセージを送るサービスです。
フリーメールと比べて気軽に番号を増やせない携帯電話番号を使ったこの方法は、複数応募の抑制にも効果があります。
アプリが不要なため、導入しやすい
ユーザー側は携帯電話に標準機能として搭載されているSMSを利用するため、新しいアプリをインストールしたり、複雑な設定を行ったりする必要がありません。
また、企業側も既存のシステムとSMS送信サービスを連携させるだけで認証機能を実装できるため、新たなインフラ整備や開発を行うことなく、ユーザーに負担をかけずにスムーズな本人確認の仕組みを導入できます。
SMS認証のデメリット
認証コードが届かない
多くの携帯電話には、迷惑メッセージ対策として受信拒否設定が設けられています。
あらかじめ受信拒否設定がされている場合はもちろん受信できませんが、企業が採用しているSMS送信サービスが海外網の場合も、日本のキャリアによってメッセージがブロックされ、受信できない可能性があります。
さらに、短時間に何度も認証コードを要求すると、企業側システムで設定されている送信回数の上限を超過している場合や、SMS送信サービス側で一時的な遅延が発生している場合、コードは届きません。
格安スマホでは、SMS認証が行えない場合がある
近頃よく耳にするようになっている格安スマホ。MVNO(仮想移動体通信事業者)が提供する格安SIMを内蔵している端末の場合、そもそもSMSを利用できないケースがあります。
これは格安SIMを選択しているユーザーには、通話やメッセージのやり取りは主にLINEやIP電話で対応することを想定しており、データ通信専用のSIMが選ばれることが多いためです。
SMS詐欺だと思われてしまう可能性がある
ユーザーが届いた認証コードを不正なSMS詐欺(スミッシング)と誤解し、SMSのメッセージを見てもらえないリスクがあります。
近年、金融機関や配送業者などを装って偽のリンクやコードを送るSMS詐欺が多発しているため、ユーザーのセキュリティ意識は高まっています。そのため、サービス利用中に突然届く見慣れない送信元からの認証コードやリンクを、ユーザーが不正な誘導だと警戒し、認証を最後まで進められなくなる可能性があります。
SMS詐欺と誤解されないための対策についてはこちらの記事をご覧ください。
SMS認証の活用例
セキュリティ強化を目的として、さまざまなシーンで活用されているSMS認証ですが、ここでは具体的な活用例を紹介していきます。
金融機関・証券会社での振込時の本人認証
多くの金融機関や証券会社では、SMS認証を導入しています。お金に関わるサービスなので、万が一セキュリティの問題が発生した場合、サービスや会社の存続に関わる可能性があります。
そのためユーザーが安心して利用できるようなセキュリティの導入が必要です。
ECサイトの本人認証
よく使うECサイトにクレジットカードの情報を登録している人は多いのではないでしょうか。
クレジットカード情報の登録は、支払いや決済が便利になる一方、情報漏洩や不正使用のリスクが高まります。
こういったリスクを下げるために、ECサイトでは購入時にSMSによる2段階認証を取り入れ、購入・決済の操作をしている人が本人である確率を高める仕組みを構築・運用しています。
パスワード再発行時の本人認証
多くのWebサービスでは、パスワードの再発行にメールアドレスを使います。しかし、メールアドレスは誰でも入力でき、メールのIDやパスワードさえわかれば、誰でも受信できてしまいます。
個人情報の漏洩防止のため、多くのサイトでは、パスワードの再発行時にSMSによる本人認証(ワンタイムパスワード等)を取り入れ、セキュティを高めています。
アプリインストール時の本人認証
多くのアプリでは、インストール後の初回起動時にアカウント登録が必要になりますが、メールアドレスだけでの登録では、第三者によるなりすましや架空アカウントの作成を防ぎきれません。
そのため、登録時にSMS認証(ワンタイムパスワードなど)を利用した本人確認を行うケースが増えています。
企業におけるサービス提供はSMS認証が必須!導入を検討しましょう
SMS認証(2段階認証)の有効性を認識いただけたでしょうか。
セキュリティ強化の一環で自社での運用を視野に入れている場合は、ぜひSMS送信サービスの導入を検討しましょう。
「企業におけるSMS認証」については企業がSMS認証を導入する理由の記事もぜひご参照ください。
SMS認証サービスを導入する際の比較ポイント
ここではSMS認証を行う上で導入する必要がある「SMS送信サービス」を選ぶ際のサービス比較ポイントについてご紹介いたします。
ぜひサービス比較の際に参考にしてください。
“国内直収“のサービスでSMS認証を安全に行う
SMSを送る際、国際回線網と国内回線網という2種類の送信ルートがあります。
国際回線網は、海外の送信業者や複数の中継業者を経由してメッセージを送信するため、国内の携帯電話各社がスパムメッセージ防止やセキュリティのために設定しているフィルタリング機能により届かないことがあります。
ゆえに、国際回線網を提供するSMS送信サービスは比較的安価ではありますが、SMS認証を安全かつ確実に運用するためには、到達率が高い国内回線網に対応したサービス(国内直収サービス)を提供している事業者の利用をおすすめします。
自社システムとのシステム(API)連携が可能かどうか
企業でのSMS認証を行う場合、自社システムとSMS送信サービスをAPI連携する必要があります。
SMSをシステムから自動送信する仕組みを構築する際、繋ぎ込みに工数がかかる場合もあるので、なるべく自社の開発部門に負担がかかりにくく、導入しやすいAPIを提供しているサービスを選ぶようにしましょう。
サービスのセキュリティレベルは万全かどうか
SMS認証はセキュリティ強化を目的に実施するため、認証コードを送信するSMSサービス自体のセキュリティ対策を確認しておくことが重要です。
セキュリティ施策に関しては、ファイアウォールやWAF(Web Application Firewall)、IPS/IDS(Intrusion Prevention System/Intrusion Detection System)のような侵入防止システムが備わっているか、パソコンのOS・ソフトウェア・プログラムの脆弱性に関してどれだけの対策を講じているかもチェックポイントのひとつです。
また、サービス提供元の企業がPマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)といった第三者認証の取得状況も把握しておくといいでしょう。
対応キャリアの種類
国内ではドコモ・au・ソフトバンクに加え、楽天モバイルやMVNO(格安SIM)の利用者も増えており、すべてのユーザーに確実に認証コードを届けられるかが重要になります。
特にMVNOはキャリアによって到達率や制限事項が異なる場合があるため、事前にサービスがどこまでカバーしているかを把握することが重要です。
また、海外向け認証を行う場合は、対応国によってコストや到達性も変わるため、提供範囲の広さと品質の両方を比較指標に入れておくと安心です。
まとめ
SMS認証は、近年Webサービスやアプリにおける本人確認として広く普及しています。
パスワードだけでは防ぎきれない不正アクセスや不正登録を防止し、ユーザーの安全性を高める有効な手段です。さらに、専用アプリが不要で導入しやすい点も企業にとって大きなメリットといえます。
一方で、認証コードが届かないケースや、SMS詐欺と誤解されるリスクなど、導入時には注意すべき点も存在します。
そのため、サービス選定では国内直収の通信網を利用しているか、API連携が可能か、セキュリティレベルが十分か、対応キャリアが広いかといった比較ポイントをしっかり確認することが重要です。
セキュリティ強化と利便性を両立するために、SMS認証を活用した本人確認の導入を検討してみてはいかがでしょうか。
SMS認証だけではない、SMS送信サービス!
SMSは到達率・開封率・視読率が高いことから、SMS認証のみならず、顧客とのコミュニケーションを円滑に図る上で非常に注目されています。確実に連絡を取りたい、案内が埋もれることなく、必ず読んでほしいといった時にぴったりです。
当社が提供するSMS送信サービス「SMS HaNa」には以下の様な便利な機能があります。
SMS送信サービスのSMS HaNa「資料請求・お見積り」
SMS送信サービスを検討するなら、機能やサービスが充実しているSMS HaNaがおすすめです。HaNaのサービス内容や料金、お問い合わせ方法を紹介します。
SMS HaNa料金 お問合せ
初期費用無料で安心の料金設定となっています。送る件数や利用状況によっても価格は異なるので、気になる人は下記の公式サイトより資料請求をしてみましょう。
