SMS認証とは、通常の認証に加えてSMSを使用して行う認証方法です。高いセキュリティ効果が期待できるため、多くの企業が導入しています。しかし、なんとなくSMS認証について知ってはいるものの、詳しい仕組みや重要性についてきちんと理解している方は少ないかもしれません。この記事ではSMS認証の基本と、実際に活用している企業の事例や注意点などについて詳しく解説します。SMS認証の導入を検討している方はぜひ参考にしてください。
- SMS認証とはWebサービスやアプリへ登録やログインする際にSMSを使用して本人確認を行う認証で、セキュリティ効果が高い
- SMS認証はユーザビリティ・コスト双方のバランスが良いため、多くの企業で他要素認証の手段として採用されている
- SMS認証にはセキュリティ強化や導入・運用のしやすさ、ユーザーへの負担軽減など多くのメリットがある
- 最適なSMS送信サービスを選ぶ際は、到達率やセキュリティ対策、API連携の対応可否などさまざまな観点から判断することが重要
目次
- SMS認証とは
- SMS認証の仕組みと流れ
- 企業が多要素認証を導入する理由・必要性
- 多要素認証のセキュリティレベルと手段
- 多要素認証にSMSが選ばれる理由
- SMS認証のメリット
- SMS認証の注意点
- SMS認証を導入する方法
- SMS認証の活用事例
- SMS送信サービスの選び方
- SMS認証にSMS送信サービスを活用しよう
SMS認証とは
SMS認証とは、Webサービスやアプリへの登録やログインする際に通常の認証に加えてSMSを使用して行う二要素目の認証です。ユーザーの携帯電話やスマートフォンにSMSが送信され、そこに記載された認証コードをWebサイトやアプリに入力することで本人確認を行います。この認証コードは一時的なもので、一定の時間が経過した場合や一度入力された場合は無効となることが特徴です。
SMS認証は携帯電話番号宛に送信されます。そのため特別なソフトのインストールなどは不要で、誰でも簡単に利用できることからさまざまな企業で導入が進んでいます。
SMS認証の仕組みと流れ
では、SMS認証はどのような仕組みで行われているのでしょうか。ユーザー側・サービス提供者側それぞれの視点からログイン時にSMS認証が行われる流れを見ていきましょう。
ユーザー側の流れ
ユーザー側のSMS認証の仕組みと流れは次のとおりです。
- ログイン画面でIDとパスワードを入力し、一段階目の通常の認証を実施する
- 二段階目のSMS認証の画面で、携帯電話番号を入力する
- 携帯電話・スマホに届いたショートメッセージに記載された認証コードを確認する
- 認証コードを二段階目の認証画面に入力する
- コードが正しければ、ログインに成功する
通常は電話番号を入力するとすぐにSMSが送信されます。数分経っても届かない場合は、電話番号の入力ミスや受信拒否設定をしているなどの可能性があるため確認しましょう。
サービス提供者側の流れ
サービス提供者側のSMS認証の仕組みと流れは次のとおりです。
- ユーザーからSMS認証の要求を受けたら、SMS送信サービスにAPI経由で認証コードの送信を要求する
- SMS送信サービスは認証コードが記載されたショートメッセージをユーザーに送信する
- ユーザーが入力した認証コードの検証結果がSMS送信サービスからサービス提供者側に送信される
- 結果が正しければ認証は完了し、ユーザーをログイン状態にする
基本的にサービス提供者側は外部のSMS送信サービスを利用し、自社システムとAPIで連携をして認証を行います。
企業が多要素認証を導入する理由・必要性
2020年、金融系サービスの不正出金・不正流出が大きな社会問題となりました。第三者が銀行口座番号やキャッシュカードの暗証番号を不正に入手し、サービス新規登録をする、または、証券会社の口座に不正にログインし、偽の銀行口座に送金・出金を行うと言った手口で話題となりました。どれも、「本人性確認のプロセスがなかった」「脆弱だったためになりすましが容易にできてしまった」ことが問題となっています。
また、上記のような金融系サービス以外でも、ID・パスワードによる本人認証方式のみを採用しているサービスでは、悪意のある第三者にID・パスワードを知られた場合、不正ログインによって個人情報流出やクレジットカードの不正利用などの被害に遭う恐れがあります。
他にも、ユーザーが同一のID・パスワードを使いまわしている場合、1つのサービスからID・パスワードが流出した際に他のサービスでも不正実行される可能性があります。
さらに、不正に入手した個人情報を詐欺に利用されることもあり、個人情報を漏洩された被害者だったにもかかわらず、詐欺に加担する加害者になっているケースも危惧されます。
多要素認証を導入すれば、不正に入手した情報を利用した新規登録や流出したID・パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単には登録やログインを許しません。多要素認証は、不正ログイン防止策として有効であると言えます。
実際に、これらの事件を機に、金融庁から各種サービスに対して認証強化の要請、一般社団法人キャッシュレス推進協議会からもコード決済における不正な銀行口座紐づけの防止対策に関するガイドラインが出るなど、認証強化は金融機関には避けては通れないものとなりました。
また、発端となった金融系サービスに関わらず、機微情報を取り扱うSaaSサービスからの引き合いが増えていることをSMS事業者として感じています。消費者向け・法人向けのSaaSサービスに関わらず、機微情報を守るために、なりすましを防止し、セキュリティを高め、不正ログインを防止するために、SMS認証を含む多要素認証が社会的に必要になっている状況と言えます。
(関連記事:SMS認証の目的とは?本人確認の仕組みと導入理由を解説)
多要素認証のセキュリティレベルと手段
多要素認証の必要性が高まっている状況を説明してきましたが、では、多要素認証ではどの手段を導入するべきか、について掘り下げていければと思います。
そもそも、多要素認証とは何でしょうか?
多要素認証(MFA:Multi-Factor Authentication)とは、SaaSサービスへのログイン時、スマホアプリ利用の新規登録時などに、2つ以上の"要素"によって行う認証を指します。
では、要素にはどのような物があるのでしょうか。
「知識情報(その人が知っている情報)」「所持情報(その人が持っているものに付随する情報)」「生体情報(その人の身体的な情報)」の大きく3つがあり、これらのうち2つ以上の要素二要素以上を組み合わせた認証を多要素認証と呼びます。
各要素の認証方式二具体例には以下の表のようなものがあります。
| 要素 | 知識情報 | 所持情報 | 生体情報 |
|---|---|---|---|
| 各要素に属する認証方式の例 | ・IDパスワード ・PIN番号 ・秘密の質問 ・マトリクス認証 |
・ハードウェアによるOTP発行(スマートカード等) ・スマホアプリ認証 ・SMSによるOTP伝達 ・暗号表認証 |
・指紋認証 ・顔認証 ・虹彩認証、網膜認証 ・静脈認証 |
※OTPはワンタイムパスワードの略
セキュリティレベルについては、AAL (Authenticator Assurance Level)※という強度で以下のように定義されています。
※NIST(アメリカ政府傘下の国営研究所)によって定義されているNIST SP800-63-3より
| 強度 | 条件 |
|---|---|
| AAL1 | 単要素認証でOK |
| AAL2 | 2要素認証が必要 -2要素目の認証手段はソフトウェアベースのものでOK |
| AAL3 | 2要素認証が必要 -かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等) |
数字が大きいほど強度が高いことを意味しています。
導入において重要な点は、守るべき情報の重要性・深刻度の強度を分けるべきです。
強度が高いということは、認証に時間がかかったり、デバイスを持ち歩く必要が生じたりするため、手間がかかります。電子認証においては、常に「セキュリティの重要度」と「手間」の両面を考える必要があります。
SMS認証も、単一ではAAL1に該当します。ID・パスワード認証(知識情報)とSMS認証(所持情報)を組み合わせることで、AAL2レベルとなり、二要素認証となります。
なお、よく言われる二段階認証とは、認証が2段階(2回)求められる認証方法です。例えば、最初にIDとパスワードを入力して認証し、次の段階で最初のIDとパスワード以外のもので認証します。1回目がIDとパスワード(知識情報)、2回目がSMS認証(所持情報)であれば、二要素認証、かつ二段階認証ということになります。
多要素認証にSMSが選ばれる理由
二要素を組み合わせるためには、知識情報と所持情報、知識情報と生体情報、所持情報と生体情報のいずれかを選択することになります。
コスト面を考えたときに、知識情報は利用するとして、所持情報・生体情報の認証手段をどう選択するかを比較した表が以下になります。
| 所持情報 | 生体情報 | |||
| ハードウェアによるOTP発行 | スマホアプリによるOTP伝達 | SMSによるOTP伝達 | 生体認証 ※指紋、顔認証等 |
|
| ユーザビリティ | × ・発行デバイスが手元にないと認証できない |
△~〇 ・スマホのみで認証完結 ・ガラケーユーザーは利用できない ・アプリ起動が手間 |
〇 ・届いたSMSのOTPを確認し、転記するだけで認証可能 |
△~〇 ・指紋認証、顔認証等、登録が済んでいれば非常に利便性は高い ・初期登録の手間有 ・うまく行かない場合の別導線が手間 |
| コスト | × ・発行デバイスを配布、メンテナンスコストが高価 |
△~〇 ・iOS、Android双方を意識したアプリ開発が必要 ・頻度が多い場合には絶対的コストはSMSより安価 ・初期登録時にSMS認証は必須 |
〇 ・携帯電話番号さえわかっていれば、利用者の携帯電話に対してSMS送信のみで可能 ・初期開発は安価 ・SMS1通あたりのコストがかかる |
× ・生体認証機能や生体認証がうまくいかない場合の認証手段の準備が必要 ・スマホを利用した生体認証の場合、初期登録時にSMS認証は必須 |
AAL2レベルを満たす認証手段として、上記からSMS認証はユーザビリティ・コスト双方のバランスが良いと言えます。
実際、SMS認証の市場全体の送信数は2018年度から2019年度で146.7%増加(ミックITレポートより)しています。多くの企業がSMS認証を多要素認証に採用していることが伺えます。
(関連記事:SMS認証とは?携帯電話番号の本人確認で所有者認証)
SMS認証のメリット
SMS認証は多くのメリットがあることから導入する企業が増えています。ここでは、SMS認証を利用することで得られる具体的なメリットを4つ紹介します。
セキュリティ対策になる
まず、もっとも大きなメリットはSMS認証を行うことでセキュリティ対策になることです。通常のIDとパスワードで行う一要素の認証だけでは、なりすましが簡単にできてしまうため不正ログインが多発する可能性があります。個人情報漏洩などの大きなトラブルに発展した場合には、企業の責任を追及される事態にもなりかねません。このような事態を防ぐにはセキュリティを強化する必要があり、SMS認証で二要素認証を行うことが効果的です。SMS認証により本人確認の信頼性を高め、不正ログインを防ぐことができます。
他の認証方法と比べ導入と運用がしやすい
SMS認証はほかの認証方法と比べて導入のハードルが低く、管理がしやすいという特徴もあります。通常のID・パスワードでの認証システムにSMS認証のサービスをAPIで連携させるだけで導入できるため、ゼロから認証システムを構築する必要がないからです。また、生体認証やトークンでの認証よりも、導入コストやメンテナンスの負担も抑えられます。手軽に導入でき、運用の負担が少ないこともSMS認証のメリットです。
大量アカウントの取得を防ぐことができる
Webサイトやアプリでユーザーに利益のあるクーポン配布や割引キャンペーンなどを行っている場合、同一人物に大量にアカウントを取得されてしまうと企業側が大きな損失を受ける可能性があります。そこでSMS認証を利用すると、電話番号とWebサイト・アプリの会員データを紐付けられるため同一人物による大量アカウントの取得を防ぐことが可能です。メールアドレスと違い、電話番号は同一人物が複数所持することは難しいため、電話番号で本人確認を行うSMS認証ならではのメリットと言えます。
ユーザーへの負担が少ない
SMS認証の流れは非常にシンプルでわかりやすいため、ユーザーへの負担が少ないこともメリットです。携帯やスマホは年代を問わずほとんどの人が持っており、SMS認証は特別なソフトのインストールや設定も不要なため誰でも使いやすいでしょう。また、SMSの通知は目に留まりやすいため、見落とす可能性も少なくなります。電話や郵送でのやりとりよりも手間がかからず、手元の携帯電話やスマホで気軽に認証が行えることもユーザーに受け入れられやすいポイントです。
SMS認証の注意点
メリットの多いSMS認証ですが、注意すべきポイントもいくつかあります。3つの注意点を紹介しますので、理解したうえで導入を検討してみてください。
SMS機能がないユーザーは利用できない
SMS認証を行うには、SMS機能が搭載された携帯電話やスマホが必要です。そのため、SMS機能が搭載されたデバイスを所持していないユーザーはSMS認証を利用できません。大手キャリアではSMS機能が標準搭載されていますが、一部の格安SIMではオプションの場合があるため注意しましょう。また、固定電話しか所持していないユーザーも、SMS認証を利用できません。
SMSを受信拒否しているユーザーには届かない
SMS機能が搭載されたデバイスを所持していても、ユーザーが受信拒否設定をしている場合は届かない可能性があります。すべてのSMSを拒否している、非通知のSMSのみを拒否しているなど、ユーザーによって設定はさまざまです。この場合、ユーザーに拒否設定を解除してもらわなければSMS認証を行えません。自分自身が受信拒否設定をしているかどうかを認識していないユーザーも多いため、確認する必要があります。
紛失や解約などでユーザーがログインできなくなるリスクがある
SMS認証は電話番号と紐づいているため、デバイスを紛失したりキャリアを解約して電話番号が変更されたりした場合に、ユーザーが認証できずにログインできなくなるおそれがあります。このような場合に備えて、ほかの認証方法を用意しておく、連絡用メールアドレスの設定をしておく、などの再設定のための対策を講じておく必要があるでしょう。
SMS認証を導入する方法
次に、実際にSMS認証を導入する方法を具体的に解説します。SMS認証には準備が必要なため、すぐに運用を開始できるものではありませんが、次の手順で進めるとスムーズに導入できるでしょう。
SMS送信サービスを選ぶ
まずは使用するSMS送信サービスを選びます。重要なのは、自社システムとAPI連携ができるかどうかです。SMS認証を行うには、ユーザーから認証を要求されたタイミングですぐにSMSを送信しなければなりません。そのためには自社システムとSMS送信サービスを連携させる必要があります。API連携が可能であればすぐに連携できますが、API連携ができない場合はシステムを大幅に改修しなければならないかもしれません。時間や手間を短縮するためにも、自社システムとAPI連携のできるSMS送信サービスを選ぶのがおすすめです。
SMS送信機能を実装する
使用するSMS送信サービスを決定したら、自社システムからAPIを介してSMS認証サービスにSMS送信を指示するための機能を実装します。ほとんどの場合はSMS送信サービスを提供するベンダーから仕様書やサンプルコードが提供され、それを自社システムに実装する作業のみなのでそれほど負担は大きくないでしょう。もし仕様や実装に不安がある場合は、ベンダーに相談することでサポートを受けられるケースもあります。
運用テストを行う
自社システムとSMS送信サービスの連携が完了したら、正常に動作するか運用テストを行います。実際にSMS認証を行い、想定どおりに自社システムと連携して遅延なくSMSが送信されているか、認証コードの有効・無効が制御できているか、正しく認証できているかなどをチェックしましょう。また、動作だけでなくユーザーにとってわかりやすい文章になっているか、操作に迷う部分はないかなど、ユーザー目線で確認することも重要です。運用テストを繰り返して問題がない状態に調整が完了したら、実際の運用を開始できます。
SMS認証の活用事例
多くの企業で、SMS送信サービスを導入してSMS認証を実現しています。ここでは、実際にSMS認証を活用している3つの企業の事例を見ていきましょう。
株式会社NTTドコモ
国内最大手の移動体通信事業者として知られる株式会社NTTドコモ様は、動画や音楽配信、金融・決済サービスまで幅広く展開する企業です。
同社が2022年7月にスタートした金融分野の新たなサービス「dスマホローン」は、いわゆる「無担保ローン」サービスです。ドコモの回線を契約されていたり、dカードを持っていたりするお客様は利用時の金利が優遇されます。
このdスマホローンでは利用時にSMS認証が必須であり、信頼性と可用性を重視してNTTコム オンラインが提供するSMS送信サービス「空電プッシュ」を導入しました。サービス導入以来、大きなトラブルはなくお客様は安定的にSMS認証を利用できています。さらに電話がつながらないお客様に対して、SMSで用件や通知を送信することで、企業とお客様双方の無駄な時間を削減する副次的な効果も生まれました。
株式会社ネットスターズ
株式会社ネットスターズ様は、日本におけるQRコード決済のパイオニアであり、企業のDXサポートなど幅広いサービスを提供する企業です。同社が開発した神奈川県によるキャッシュレス・消費喚起事業「かながわPay」のアプリでは、アカウント作成時にSMS認証による本人確認が必要でした。
そこで、数あるSMS送信サービスのなかから到達率と安定性の高さが特徴のNTTコム オンラインが提供する「空電プッシュ」を導入。その結果、必要な方にきちんと認証コードが届く安定した運用を実現しました。第1弾・第2弾のキャンペーン後には「かながわPay」アプリのダウンロード数は約185万件にも上り、多くのユーザーに空電プッシュによるSMS認証が受け入れられていることがわかります。
株式会社サミーネットワークス
株式会社サミーネットワークス様は、ぱちんこやパチスロといった遊技機関連のオンラインゲームの開発・運営に携わる企業です。2023年3月にはオンラインのゲームセンター「GAPOLI」をリリースしました。同社では同一人物が複数のアカウントを作ることを防ぎ、不正を防止することを課題としていました。
そこで携帯電話番号に紐づいた認証を行えるSMS認証に着目し、NTTコム オンラインが提供する「空電プッシュ」を導入。SMS認証を実装すると、無料トライアルキャンペーン実施時にも複数アカウントを作成して無料で遊び続けるといった不正も起こらず、健全な運営ができるようになりました。また日本向けオンラインゲームという性質上、国内のユーザーのみを絞り込む必要がありますが、その点でも国内の電話番号のみを対象にできるSMSが役立っています。
SMS送信サービスの選び方
SMS送信サービスを利用することで、SMS認証の仕組みを導入することができます。SMS送信サービス事業者からはAPIが提供されていることが多いので、自社サービスへの組み込みも可能です。
SMS送信サービスを選定する際には、以下のポイントを気にするべきです。
到達率
SMS認証においては、ワンタイムパスワードのSMSが確実に届くことが求められます。到達率や安全性が高い国内キャリア接続のサービスをお勧めします。
送信処理能力
SMS認証は、エンドユーザーが要求してから迅速に到着することが重要です。SMS事業者の送信処理能力もポイントになります。
メッセージ伝送経路
認証行為のためのSMSメッセージは秘匿性が重要視されます。伝送路の暗号化等の安全性はもちろんのこと、SMS送信経路が明確な国内キャリア接続のサービスをお勧めします。
サポート体制
SMS認証を導入する場合、24時間利用されることが前提です。サポート体制やサービスの安定性など、信頼できるサービスを選ぶ必要があります。
セキュリティ対策
セキュリティ強化のためのSMS認証だからこそ、セキュリティ対策やサービス運営ポリシーが万全であることが重要です。
API連携
導入を検討しているSMS送信サービスが、自社システムとAPI連携が可能かどうかを確認することも重要です。API連携に対応していないSMS送信サービスの場合、システムの改修が必要な場合があり導入までに手間や時間がかかってしまいます。
対応キャリア
SMS送信サービスが対応しているキャリアも確認しておきましょう。ドコモ、au、ソフトバンクなどの主要キャリアにはほとんどのサービスが対応しています。しかし、それ以外のキャリアの対応可否についてはサービスによって異なるため注意が必要です。特に、楽天モバイルなどの近年登場して利用者が増えつつあるキャリアについては注意深くチェックしましょう。多くのキャリアに対応しているサービスであれば、より多くのお客様にSMS認証サービスを提供できます。
我々の提供するSMS送信サービス「空電プッシュ」は上記7点について万全のものを提供します。詳しくは、こちらをご確認いただければと思います。
SMS認証をご検討のかたは、ぜひ空電プッシュにご相談ください。
(参考記事:法人向けSMS送信サービスを選ぶ際の6つのポイント)
SMS認証にSMS送信サービスを活用しよう
SMS認証とは、ユーザーがWebサービスやアプリへの登録・ログインする際にSMSを使用して本人確認を行う認証方法です。通常のID・パスワードだけで行う認証よりもセキュリティ効果が高く、企業としても導入しやすいことから活用が広がっています。
企業がSMS認証を実現するには、SMS送信サービスの利用がおすすめです。SMS送信サービスはさまざまな企業から提供されていますが、選ぶ際には到達率や送信処理能力、対応キャリアなどの複数の観点から検討しましょう。
NTTコム オンラインが提供する「空電プッシュ」は、強固なセキュリティー対策により、お客様情報をしっかり守ります。また、高い送信性能と圧倒的な到達率に定評があり、多くの企業から選ばれているサービスです。ぜひSMS認証の導入に向けて、空電プッシュを検討されてみてはいかがでしょうか。
