最近「ツイッターのAPI無償提供の終了、有料化」で話題のAPI。
APIがなぜ重要がというと、一昔前はID・パスワードという単一の認証のみでログインできる方法が一般的でしたが、現在はそれ以外の認証でログインすることが増えてきています。個人情報の保護のためにもWebサイトの安全性や防御力は非常に重要視されるようになり、多くのサイトの場合、ID・パスワードとは別の方法で本人認証を行う「2段階認証」が導入されつつあるからです。その連携にAPIが必要だからです。
※「API」とは、「Application Programming Interface」の頭文字で、簡単に言うと「アプリケーションをプログラミングするためのインターフェース」ということになります。
「2段階認証」は当初、同じパスワードを2回以上入力する方法が一般的でしたが、現在ではID・パスワードの認証に加え、指紋やワンタイムパスワードなど、別の要素での認証を加える「2要素認証」が浸透してきています。
ふたつめの要素は指紋や顔などの生体情報や、ワンタイムパスワード用のトークンなど、様々な方法がありますが、その中でも機器やアプリが不要な携帯電話番号で行える「SMS(ショートメッセージサービス)」を利用する方法が注目されています。
この記事では、多くはAPIで連携されている、「SMSによる2段階認証」のメリットや使い方を紹介します。
目次
SMS認証(2段階認証)でのセキュリティ強化の重要性
SMS認証(2段階認証)は、どのような理由で必要とされているのでしょうか。それは、他人のアカウントを悪用する不正アクセスや、情報漏洩問題などに対してセキュリティを強化し未然に防ぐためです。ここでは、SMS認証によるセキュリティ強化の背景や重要性を説明します。
SMS認証(2段階認証)は当たり前の時代に
例えば、何かのサービスへログインするとき、一般的にはIDとパスワードを入力することでログインできます。しかし、これだけではセキュリティは万全とはいえません。ID・パスワードが盗まれてしまった場合は、他人でも容易にログインできるようになってしまいます。そして、別のサービスでも同じパスワードを使っていた場合、不正アクセスの被害を拡大させてしまう恐れがあるのです。このような不正アクセスや情報漏洩を防ぐため、昨今のWebサービスの運営においてはID・パスワードとは別のセキュリティが求められているのです。
SMS認証(2段階認証)について
Webサービスにおける「本人認証」とは具体的にどのようなものなのでしょうか。
本人認証とは、サービス提供を受ける資格を持った人そのものであるという真正性確認をする行為のことです。Webサービスなどの「対面交渉を前提としないサービス」においては、ID・パスワードによる認証が一般的な手段となっています。
しかし、大手企業でも情報漏洩が頻発する中、現在WebサイトやアプリなどのIDとパスワードだけでの認証では、セキュリティは不十分と言われています。
そのため、ひと昔前まではWebサイトにログインする際、ID・パスワードを入力後、メールで送られた認証コードをWebページで入力を行い、本人を確認するという手法が一般的でした。
しかし最近では無料で誰もが手軽に作れる「フリーメールアドレス」サービスの普及もあり、メールアドレスを作成することや複数所有することは容易になりつつあります。
そんな中、注目され、浸透してきているのがSMSによる2段階認証です。
その理由は、認証を携帯電話番号で行うからです。携帯電話番号の発行は契約者の身元を確認した上で契約する必要があるため、個人と結びつけやすいと考えられているからです。
また、SMSは携帯電話があれば誰でも使えるという手軽さも持ち合わせているというのも理由のひとつです。
Webサービスの最大手「Google」は「アカウントを安全に保つため、2022年5月30日より、Googleは、ユーザー名とパスワードのみでGoogleアカウントにログインするサードパーティ製のアプリとデバイスについてサポートを終了いたします。」と発表がありました。その中にはSMS認証も含まれており、SMSにおける2段階認証は今後のWebサービスのセキュリティ対策においてスタンダードな手法になると思われます。
「2段階認証」と「2要素認証」の違いは?
2要素認証とは、複数の認証を組み合わせることでより強固なセキュリティを築く認証方法です。最近では多要素認証と呼ばれることも多くなっています。
まず、本人かどうかを確認するために使う情報(要素)は3種類あります。
パスワードなどの「知識情報」、ICカードなどの「所持情報」、指紋などの「生体情報」の3つです。
従来のIDとパスワードを使ったログインは、「知識情報」を利用した認証を1回行ったものになります。
例えばここに追加して「秘密の質問への回答」などを行う場合はこれも「知識情報」になります。パスワードと秘密の質問で2回とも「知識情報」の認証を行いました。このように同じ要素で2回認証を行うことを「2段階認証」といいます。
しかし追加で行う認証が「SMSで認証コードを送る」場合はスマートフォンの所持を確認することになるため、これは「所持情報」の認証に該当します。こちらも2回認証を行っていますが、「知識情報」と「所持情報」の二つの要素が使われています。これが「2要素認証」です。
つまり2段階認証よりも、2要素認証を用いる方がより安全になります。
SMS認証の仕組み
SMS認証は、通常のIDとパスワードに加えてスマートフォンの所持を確認する2要素認証です。
IDとパスワードを入れてログインすると、そのシステムから一度限り使えるワンタイムパスワードがお持ちのスマートフォンに送られ、それを入力して初めてログインが完了します。
つまり悪意のある第三者によって総当たり攻撃、パスワードリスト攻撃などが行われたとしても、その番号のスマートフォンを持っていないと確認できないワンタイムパスワードは突破できないため、SMS認証は非常に有効なセキュリティ対策になります。
一般的な仕組みとしては、認証を行いたいサービスと、SMS創始サービスが提供しているAPIと接続して送られます。
SMSを使った認証手順
ここでは、SMS認証を実施しているWebサービスにユーザーが登録する際の操作の流れをご紹介します。
手順①Webサイトで携帯電話番号を入力する
利用したいサービスのWebサイトのアカウント登録画面で、IDやパスワードとは別に「電話番号認証」や「携帯電話番号認証」、「SMS認証」などの項目があります。そこへ、自分の携帯電話やスマートフォンなどの電話番号を入力し送信します。
手順②Webサイトで入力した携帯電話番号宛に認証コードが送信される
利用したいサービスの提供会社から携帯電話番号宛てに、認証コードが記載されたメッセージが送信されてきます。認証コードは一般的に、発行されるごとに毎回文字列が違います。
手順③Webサイトに認証コードを入力し認証完了
送られてきた認証コードを、利用したいサービスの登録画面に戻り、入力すると作業は完了です。
※認証コードはセキュリティ性を高めるため有効期限が10分~1時間と短いことがあります。
API連携でSMS送信サービスを自社に取り入れよう
仕組みとしてはとてもシンプルなSMS認証ですが、Webサイトは基本24時間365日稼働が前提。この作業を人が手作業で行うのは現実的ではありません。
ゆえに、Webサイトにおける2段階認証の仕組みは、システム化を行い自動送信するのが一般的です。
ただ、自社でSMS送信システムを構築するのは費用や時間、保守など多くの課題が発生します。
その際に便利なのが「SMS送信サービス」です。SMS送信サービスは、メッセージの送信から結果取得までを行うWebサービスです。多くのSMS送信サービス事業者は、APIを提供しています。2段階認証を導入したいWebサービスとSMS送信サービスをAPI経由で連携することにより、自社でSMS送信システムを構築する必要はなくなります。
「SMS認証(2段階認証)」については今さら聞けないSMS認証(2段階認証)活用のポイントの記事もぜひご参照ください。
SMS認証(2段階認証)を導入するメリット
セキュリティ強化に効果があるSMS認証(2段階認証)ですが、企業にとってもユーザーの個人情報を守ること以外にも様々な利点があります。ここでは、SMS認証を導入するメリットについて紹介します。
不正アクセス(ログイン)防止
前述でも触れたようにIDとパスワードだけでのログインでは、これらの情報が漏洩してしまうと誰でも簡単に不正アクセスできてしまうため、セキュリティ面で優れているとはいえません。しかし、SMS認証を導入し2段階認証にすることで、サービスのセキュリティを高めることができ、ユーザーの信頼も得ることができます。
不正登録を防止
IDとパスワードだけでユーザーを管理することで起きてしまう問題は不正登録です。例えば、登録することで商品の購入やサービスで利用できるポイントを、1人1回に限りプレゼントするキャンペーンを行ったとしましょう。ここで、登録方法をメールアドレスと、任意のパスワードだけにしたとします。すると、1人1回にもかかわらず複数のフリーメールを使い、何度でもプレゼントを受け取るという不正登録が行われるのです。また、フリーメールで複数登録されたアカウントは、ポイントを使い終えたら放置や解約される可能性も高いため、企業にとっての顧客となるユーザーとはいえません。
対してSMSは、電話番号へメッセージを送るサービスです。フリーメールと比べて気軽に番号を増やせない携帯電話番号を使ったこの方法は、複数応募の抑制にも効果があります。
SMS認証(2段階認証)のデメリット
個人情報を守るために優秀なSMS認証ですが、メリットだけでなくデメリットも存在します。
端末がSMS受信拒否設定をしている場合、メッセージが届かない
受信者側でメッセージの受信拒否設定がされている場合、当然SMSは届きません。
ですので、あらかじめ送り先である端末が、SMSを受信拒否にしている設定となっていないかの事前確認や、注意喚起をする必要があります。
格安スマホでは、SMS認証が行えない場合がある
近頃よく耳にするようになっている格安スマホ。MVNO(仮想移動体通信事業者)が提供する格安SIMを内蔵している端末の場合、そもそもSMSを利用できないケースがあります。
これは格安SIMを選択しているユーザーには、通話やメッセージのやり取りは主にLINEやIP電話で対応することを想定しており、データ通信専用のSIMが選ばれることが多いためです。
SMS認証(2段階認証)の活用例
セキュリティ強化を目的として、さまざまなシーンで活用されているSMS認証ですが、ここでは具体的な活用例を紹介していきます。
金融機関・証券会社での振込時の本人認証
多くの金融機関や証券会社では、SMS認証を導入しています。お金に関わるサービスなので、万が一セキュリティの問題が発生した場合、サービスや会社の存続に関わる可能性があります。
そのためユーザーが安心して利用できるようなセキュリティの導入が必要です。
ECサイトの本人認証
よく使うECサイトにクレジットカードの情報を登録している人は多いのではないでしょうか。クレジットカード情報の登録は、支払いや決済が便利になる一方、情報漏洩や不正使用のリスクが高まります。こういったリスクを下げるために、ECサイトでは購入時にSMSによる2段階認証を取り入れ、購入・決済の操作をしている人が本人である確率を高める仕組みを構築・運用しています。
パスワード再発行時の本人認証
多くのWebサービスでは、パスワードの再発行にメールアドレスを使います。しかし、メールアドレスは誰でも入力でき、メールのIDやパスワードさえわかれば、誰でも受信できてしまいます。個人情報の漏洩防止のため、多くのサイトでは、パスワードの再発行時にSMSによる本人認証(ワンタイムパスワード等)を取り入れ、セキュティを高めています。
企業におけるサービス提供はSMS認証が必須!導入を検討しましょう
SMS認証(2段階認証)の有効性を認識いただけたでしょうか。セキュリティ強化の一環で自社での運用を視野に入れている場合は、ぜひSMS送信サービスの導入を検討しましょう。
SMS認証サービスの比較ポイント
以下では、SMS認証サービスの導入で失敗しないための比較ポイントを紹介します。
“国内直収“のサービスでSMS認証を安全に行う
SMSを送る際、国際回線網と国内回線網という2種類の送信ルートがあります。
国際回線網は、海外の送信業者を経由してメッセージを送信するため、国内の携帯電話各社がスパムメッセージ防止やセキュリティのために設定しているフィルタリング機能により届かないことがあります。
ゆえに、国際回線網を提供するSMS送信サービスは比較的安価ではありますが、到達率が高いことが魅力のSMS送信において、国内回線網に対応したサービス(国内直収サービス)を提供している事業者をおすすめします。
自社システムとのシステム(API)連携が可能かどうか
企業でのSMS認証を行う場合、自社システムとSMS送信サービスをAPI連携する必要があります。
SMSをシステムから自動送信する仕組みを構築する際、繋ぎ込みに工数がかかる場合もあるので、なるべく自社の開発部門に負担がかかりにくいサービスを選ぶようにしましょう。
サービスのセキュリティレベルは万全かどうか
SMS認証はセキュリティ強化を目的に実施するため、SMS認証を行うために用いる送信サービス自体のシステムセキュリティをチェックしておくことが重要です。
セキュリティ施策に関しては、ファイヤーウォールやIPS(Intrusion Prevention System)のような侵入防止システムが備わっているか、パソコンのOS・ソフトウェア・プログラムの脆弱性に関してどれだけの対策を講じているかもチェックポイントのひとつです。
Pマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)の取得状況も把握しておくといいでしょう。
SMS認証だけではない、SMS送信サービス!
SMSは到達率・開封率・視読率が高いことから、SMS認証のみならず、顧客とのコミュニケーションを円滑に図る上で非常に注目されています。確実に連絡を取りたい、案内が埋もれることなく、必ず読んでほしいといった時にぴったりです。
当社が提供するSMS送信サービス「SMS HaNa」には以下の様な便利な機能があります。
リストアップロード
送信リストをアップロードすることにより、電話番号あてにメッセージを一斉送信できます。一般的なSMS配信サービスは、リストをCSV形式で準備する必要がありますが、SMS HaNaはエクセルファイルのアップロードにも対応。SMS配信サービス用のリストファイルを用意しなくても送信できます。
予約送信機能
送信する日時を指定し、メッセージを送ることができます。送信時間に合わせた操作は必要ありません。
個別差込機能
宛先や会員番号など、送信先ごとに個別の情報をメッセージ内に差し込むことができる、1to1マーケティングに有効な機能です。SMS HaNaは、業界最多の10ヶ所までの差し込みが可能です。
配信停止機能
SMSはメールと同じく、販促目的で利用する場合、メッセージを受け取った受信者が送信を拒否することができます。配信停止希望の携帯電話番号を登録しておくことで、送信リスト内にその宛先があっても送信されることがなくなります。
長文SMS機能
SMSは通常1通最大全角70文字までの制限がついているものですが、SMS送信サービスを使えば、それ以上のメッセージが送れます。送れる最大文字数はサービス提供会社によって違いますが、SMS HaNaでは660文字まで送ることができます。
双方向SMS機能
従来のSMSと同じように、送信先とのリアルタイムのコミュニケーションが可能になります。メールなどのほかのコミュニケーションツールと違い、携帯番号のみで簡単に運用できます。
※双方向SMSサービスに関する詳細はこちら
トラッキング機能
過去60日分の送信履歴を閲覧できます。
メッセージに入力したURLを「誰が・何回クリック」したかを追跡できます。
SMS送信サービスは、どの企業や団体でも導入しやすいサービスだといえます。導入することで、顧客へスムーズに連絡できたり、損失を防いだりできるので、顧客が多い場合は検討してみてはいかがでしょうか。
SMS送信サービスのSMS HaNa「資料請求・お見積り」
SMS送信サービスを検討するなら、機能やサービスが充実しているSMS HaNaがおすすめです。HaNaのサービス内容や料金、お問い合わせ方法を紹介します。
SMS HaNa料金 お問合せ
初期費用無料、SMS一通あたり8円~と、安心の料金設定となっています。送る件数や利用状況によっても価格は異なるので、気になる人は下記の公式サイトより資料請求をしてみましょう。