多要素認証とは、2つ以上の認証要素を用いて行う認証方法です。IDとパスワードだけなど、単一の要素による認証に比べてセキュリティ性を高めることが可能です。

多要素認証の中でも、SMSに届く認証コードを活用して本人確認を行う「SMS認証」は、セキュリティ性の確保や運用のしやすさから、多くの企業で導入されています。

本記事では多要素認証と二段階認証との違いやセキュリティレベルに加え、実際にSMS認証を活用している企業の事例や注意点などについて詳しく解説します。多要素認証を自社に最適な形で導入するためにぜひ参考にしてください。

この記事の内容
  • 多要素認証とは、スマホアプリやWebサービスの新規登録・ログインなどで、2つ以上の認証要素を用いて行う認証方法のこと
  • 多要素認証では「知識情報」「所持情報」「生体情報」の3つの認証要素のうち、2つ以上を組み合わせることでセキュリティを強化している
  • SMS認証は、SMSを使用して本人確認を行う認証方法で、ほぼすべての携帯端末で受信できるSMSを使うため開封率や到達率が高い点が特徴
  • SMS認証にはセキュリティ強化や導入・運用のしやすさ、ユーザーへの負担軽減など多くのメリットがある
  • 最適なSMS認証サービスを選ぶ際は、到達率やセキュリティ対策、API連携の対応可否などさまざまな観点から判断することが重要
API連携でSMS送信 NTT CPaaS 「SMS API」

多要素認証とは

多要素認証(MFA:Multi-Factor Authentication)とは、スマホアプリやインターネットサービスの新規登録、ログインなどの際に2つ以上の「要素」を用いて行う認証方法です。一般的なオンラインサービスの認証パターンは、ユーザーIDまたはメールアドレスとパスワードの組み合わせであるため、推測や総当たりで突破されるリスクがあります。

そこで、多要素認証により2つ以上の異なる認証要素を組み合わせた本人確認を活用することで、単一要素での認証に比べてセキュリティを強化することができます。

多要素認証の3要素

多要素認証で活用される認証要素は、大きく分けて以下の3つです。

  • 知識情報(その人が知っている情報)
  • 所持情報(その人が持っているものに付随する情報)
  • 生体情報(その人の身体的な情報)

各要素の認証方式の具体例には、以下のようなものがあります。

要素 知識情報 所持情報 生体情報
各要素に属する認証方式の例 ・IDパスワード
・PIN番号
・秘密の質問
・マトリクス認証
・ハードウェアによるOTP発行(スマートカード等)
・スマホアプリ認証
・SMSによるOTP伝達
・暗号表認証
・指紋認証
・顔認証
・虹彩認証、網膜認証
・静脈認証

※OTPはワンタイムパスワード(One-Time Password)の略

これらのうち2つ以上の異なる要素を組み合わせた認証を、多要素認証と呼びます。

多要素認証と二要素認証・二段階認証との違い

二段階認証と二要素認証は似ていますが、認証の方法が異なります。二要素認証とは、2つの要素を使った本人認証のことで、多要素認証の1種と言えます。例えば、携帯電話などの端末からID・パスワードを入力した後、発行される認証コードやワンタイムパスワードを再度入力する方法です。

一方で、二段階認証は、認証の回数が2回設定されている認証方法で、要素の数に決まりはありません。例えば、ID・パスワードでログインを行い、その後に「秘密の質問」の答えを入力する認証方式は、二段階認証に該当します。

ただ、「パスワード」と「秘密の質問」はいずれも知識要素であり、1つの要素しか確認されていないことになります。万が一サイバー攻撃によって両方の知識要素が同時に流出してしまえば、不正ログインのリスクが高まるでしょう。

複数の認証要素を用いた認証は、単一要素での認証に比べてセキュリティ性が高まるため、多要素認証の重要性が増しています。

関連記事:二段階認証とは?メリットや注意点から事例まで解説

「NTT CPaaS」 認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供

多要素認証のセキュリティレベル

多要素認証のセキュリティレベルについては、AAL (Authenticator Assurance Level)※という強度で以下のように定義されています。
※NIST(アメリカ政府傘下の国営研究所)によって定義されているNIST SP800-63-3より

強度 条件
AAL1 単要素認証でOK
AAL2 2要素認証が必要
-2要素目の認証手段はソフトウェアベースのものでOK
AAL3 2要素認証が必要
-かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等)

数字が大きいほど強度が高いことを意味しています。

導入において重要な点は、守るべき情報の重要性・深刻度の強度を分けるべきです。
強度が高いということは、認証に時間がかかったり、デバイスを持ち歩く必要が生じたりするため、手間がかかります。電子認証においては、常に「セキュリティの重要度」と「手間」の両面を考える必要があります。

SMS認証も、単一ではAAL1に該当します。ID・パスワード認証(知識情報)とSMS認証(所持情報)を組み合わせることで、AAL2レベルとなり、二要素認証となります。

なお、よく言われる二段階認証とは、認証が2段階(2回)求められる認証方法です。例えば、最初にIDとパスワードを入力して認証し、次の段階で最初のIDとパスワード以外のもので認証します。1回目がIDとパスワード(知識情報)、2回目がSMS認証(所持情報)であれば、二要素認証、かつ二段階認証ということになります。

企業が多要素認証を導入する理由・必要性

2020年、金融系サービスの不正出金・不正流出が大きな社会問題となりました。第三者が銀行口座番号やキャッシュカードの暗証番号を不正に入手し、サービス新規登録をする、または、証券会社の口座に不正にログインし、偽の銀行口座に送金・出金を行うと言った手口で話題となりました。どれも、「本人性確認のプロセスがなかった」「脆弱だったためになりすましが容易にできてしまった」ことが問題となっています。

また、上記のような金融系サービス以外でも、ID・パスワードによる本人認証方式のみを採用しているサービスでは、悪意のある第三者にID・パスワードを知られた場合、不正ログインによって個人情報流出やクレジットカードの不正利用などの被害に遭う恐れがあります。
他にも、ユーザーが同一のID・パスワードを使いまわしている場合、1つのサービスからID・パスワードが流出した際に他のサービスでも不正実行される可能性があります。

さらに、不正に入手した個人情報を詐欺に利用されることもあり、個人情報を漏洩された被害者だったにもかかわらず、詐欺に加担する加害者になっているケースも危惧されます。

多要素認証を導入すれば、不正に入手した情報を利用した新規登録や流出したID・パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単には登録やログインを許しません。多要素認証は、不正ログイン防止策として有効であると言えます。

実際に、これらの事件を機に、金融庁から各種サービスに対して認証強化の要請、一般社団法人キャッシュレス推進協議会からもコード決済における不正な銀行口座紐づけの防止対策に関するガイドラインが出るなど、認証強化は金融機関には避けては通れないものとなりました。

また、発端となった金融系サービスに関わらず、機微情報を取り扱うSaaSサービスからの引き合いが増えていることをSMS事業者として感じています。消費者向け・法人向けのSaaSサービスに関わらず、機微情報を守るために、なりすましを防止し、セキュリティを高め、不正ログインを防止するために、SMS認証を含む多要素認証が社会的に必要になっている状況と言えます。

関連記事:SMS認証の目的とは?本人確認の仕組みと導入理由を解説

SMSを利用した多要素認証とは

SMS認証とは、Webサービスやアプリへの登録やログインする際に通常の認証に加えてSMSを使用して行う二要素目の認証です。ユーザーの携帯電話やスマートフォンにSMSが送信され、そこに記載された認証コードをWebサイトやアプリに入力することで本人確認を行います。この認証コードは一時的なもので、一定の時間が経過した場合や一度入力された場合は無効となることが特徴です。

SMS認証は携帯電話番号宛に送信されます。そのため特別なソフトのインストールなどは不要で、誰でも簡単に利用できることからさまざまな企業で導入が進んでいます。

関連記事:SMS認証とは?メリット・デメリットと導入方法を紹介

SMS認証の仕組みと流れ

では、SMS認証はどのような仕組みで行われているのでしょうか。ユーザー側・サービス提供者側それぞれの視点からログイン時にSMS認証が行われる流れを見ていきましょう。

ユーザー側の流れ

ユーザー側のSMS認証の仕組みと流れは次のとおりです。

  • ログイン画面でIDとパスワードを入力し、一段階目の通常の認証を実施する
  • 二段階目のSMS認証の画面で、携帯電話番号を入力する
  • 携帯電話・スマホに届いたショートメッセージに記載された認証コードを確認する
  • 認証コードを二段階目の認証画面に入力する
  • コードが正しければ、ログインに成功する

通常は電話番号を入力するとすぐにSMSが送信されます。数分経っても届かない場合は、電話番号の入力ミスや受信拒否設定をしているなどの可能性があるため確認しましょう。

サービス提供者側の流れ

サービス提供者側のSMS認証の仕組みと流れは次のとおりです。

  • ユーザーからSMS認証の要求を受けたら、SMS認証サービスにAPI経由で認証コードの送信を要求する
  • SMS認証サービスは認証コードが記載されたショートメッセージをユーザーに送信する
  • ユーザーが入力した認証コードの検証結果がSMS認証サービスからサービス提供者側に送信される
  • 結果が正しければ認証は完了し、ユーザーをログイン状態にする

基本的にサービス提供者側は外部のSMS認証サービスを利用し、自社システムとAPIで連携をして認証を行います。

多要素認証にSMSが選ばれる理由

二要素を組み合わせるためには、知識情報と所持情報、知識情報と生体情報、所持情報と生体情報のいずれかを選択することになります。
コスト面を考えたときに、知識情報は利用するとして、所持情報・生体情報の認証手段をどう選択するかを比較した表が以下になります。

所持情報 生体情報
ハードウェアによるOTP発行 スマホアプリによるOTP伝達 SMSによるOTP伝達 生体認証
※指紋、顔認証等
ユーザビリティ ×
・発行デバイスが手元にないと認証できない
△~〇
・スマホのみで認証完結
・ガラケーユーザーは利用できない
・アプリ起動が手間

・届いたSMSのOTPを確認し、転記するだけで認証可能
△~〇
・指紋認証、顔認証等、登録が済んでいれば非常に利便性は高い
・初期登録の手間有
・うまくいかない場合の別導線が手間
コスト ×
・発行デバイスを配布、メンテナンスコストが高価
△~〇
・iOS、Android双方を意識したアプリ開発が必要
・頻度が多い場合には絶対的コストはSMSより安価
・初期登録時にSMS認証は必須

・携帯電話番号さえわかっていれば、利用者の携帯電話に対してSMS送信のみで可能
・初期開発は安価
・SMS1通あたりのコストがかかる
×
・生体認証機能や生体認証がうまくいかない場合の認証手段の準備が必要
・スマホを利用した生体認証の場合、初期登録時にSMS認証は必須

AAL2レベルを満たす認証手段として、上記からSMS認証はユーザビリティ・コスト双方のバランスが良いと言えます。

実際、SMS認証の市場全体の送信数は2018年度から2019年度で146.7%増加(ミックITレポートより)しています。多くの企業がSMS認証を多要素認証に採用していることが伺えます。

関連記事:SMS認証とは?携帯電話番号の本人確認で所有者認証

SMS認証のメリット

SMS認証は多くのメリットがあることから導入する企業が増えています。ここでは、SMS認証を利用することで得られる具体的なメリットを4つ紹介します。

セキュリティ対策になる

まず、もっとも大きなメリットはSMS認証を行うことでセキュリティ対策になることです。通常のIDとパスワードで行う一要素の認証だけでは、なりすましが簡単にできてしまうため不正ログインが多発する可能性があります。個人情報漏洩などの大きなトラブルに発展した場合には、企業の責任を追及される事態にもなりかねません。このような事態を防ぐにはセキュリティを強化する必要があり、SMS認証で二要素認証を行うことが効果的です。SMS認証により本人確認の信頼性を高め、不正ログインを防ぐことができます。

他の認証方法と比べ導入と運用がしやすい

SMS認証はほかの認証方法と比べて導入のハードルが低く、管理がしやすいという特徴もあります。通常のID・パスワードでの認証システムにSMS認証のサービスをAPIで連携させるだけで導入できるため、ゼロから認証システムを構築する必要がないからです。また、生体認証やトークンでの認証よりも、導入コストやメンテナンスの負担も抑えられます。手軽に導入でき、運用の負担が少ないこともSMS認証のメリットです。

大量アカウントの取得を防ぐことができる

Webサイトやアプリでユーザーに利益のあるクーポン配布や割引キャンペーンなどを行っている場合、同一人物に大量にアカウントを取得されてしまうと企業側が大きな損失を受ける可能性があります。そこでSMS認証を利用すると、電話番号とWebサイト・アプリの会員データを紐付けられるため同一人物による大量アカウントの取得を防ぐことが可能です。メールアドレスと違い、電話番号は同一人物が複数所持することは難しいため、電話番号で本人確認を行うSMS認証ならではのメリットと言えます。

関連記事:複数アカウントの作成を防止するには?SMS認証の有効性を解説

ユーザーへの負担が少ない

SMS認証の流れは非常にシンプルでわかりやすいため、ユーザーへの負担が少ないこともメリットです。携帯やスマホは年代を問わずほとんどの人が持っており、SMS認証は特別なソフトのインストールや設定も不要なため誰でも使いやすいでしょう。また、SMSの通知は目に留まりやすいため、見落とす可能性も少なくなります。電話や郵送でのやりとりよりも手間がかからず、手元の携帯電話やスマホで気軽に認証が行えることもユーザーに受け入れられやすいポイントです。

SMS認証の注意点

メリットの多いSMS認証ですが、注意すべきポイントもいくつかあります。3つの注意点を紹介しますので、理解したうえで導入を検討してみてください。

SMS機能がないユーザーは利用できない

SMS認証を行うには、SMS機能が搭載された携帯電話やスマホが必要です。そのため、SMS機能が搭載されたデバイスを所持していないユーザーはSMS認証を利用できません。大手キャリアではSMS機能が標準搭載されていますが、一部の格安SIMではオプションの場合があるため注意しましょう。また、固定電話しか所持していないユーザーも、SMS認証を利用できません。

SMSを受信拒否しているユーザーには届かない

SMS機能が搭載されたデバイスを所持していても、ユーザーが受信拒否設定をしている場合は届かない可能性があります。すべてのSMSを拒否している、非通知のSMSのみを拒否しているなど、ユーザーによって設定はさまざまです。この場合、ユーザーに拒否設定を解除してもらわなければSMS認証を行えません。自分自身が受信拒否設定をしているかどうかを認識していないユーザーも多いため、確認する必要があります。

紛失や解約などでユーザーがログインできなくなるリスクがある

SMS認証は電話番号と紐づいているため、デバイスを紛失したりキャリアを解約して電話番号が変更されたりした場合に、ユーザーが認証できずにログインできなくなるおそれがあります。このような場合に備えて、ほかの認証方法を用意しておく、連絡用メールアドレスの設定をしておく、などの再設定のための対策を講じておく必要があるでしょう。

SMSを狙った犯罪が増加している

近年、オンラインサービスの普及に伴い、SMSを利用した詐欺が急増しています。主な脅威としては、以下のようなものがあります。

  • スミッシング(SMSフィッシング)
  • SIMスワップ詐欺(SIMカードの不正発行)
  • 使い捨て電話番号やSMS認証代行の悪用

上記のようなリスクを回避するために、企業はキャリア共通番号の導入や、受信者名・送信元企業名の明記によって、送信元の信頼性を高めることが求められます。また、SMS認証以外の多要素認証の検討や、ログイン・本人確認の仕組みそのものの見直しも大切です。

関連記事:SMS認証は危険?SMSを狙う手口や対策を解説

SMS認証を導入する方法

次に、実際にSMS認証を導入する方法を具体的に解説します。SMS認証には準備が必要なため、すぐに運用を開始できるものではありませんが、次の手順で進めるとスムーズに導入できるでしょう。

SMS認証サービスを選ぶ

まずは使用するSMS認証サービスを選びます。重要なのは、自社システムとAPI連携ができるかどうかです。SMS認証を行うには、ユーザーから認証を要求されたタイミングですぐにSMSを送信しなければなりません。そのためには自社システムとSMS認証サービスを連携させる必要があります。API連携が可能であればすぐに連携できますが、API連携ができない場合はシステムを大幅に改修しなければならないかもしれません。時間や手間を短縮するためにも、自社システムとAPI連携のできるSMS認証サービスを選ぶのがおすすめです。

SMS送信機能を実装する

使用するSMS認証サービスを決定したら、自社システムからAPIを介してSMS認証サービスにSMS送信を指示するための機能を実装します。ほとんどの場合はSMS認証サービスを提供するベンダーから仕様書やサンプルコードが提供され、それを自社システムに実装する作業のみなのでそれほど負担は大きくないでしょう。もし仕様や実装に不安がある場合は、ベンダーに相談することでサポートを受けられるケースもあります。

運用テストを行う

自社システムとSMS認証サービスの連携が完了したら、正常に動作するか運用テストを行います。実際にSMS認証を行い、想定どおりに自社システムと連携して遅延なくSMSが送信されているか、認証コードの有効・無効が制御できているか、正しく認証できているかなどをチェックしましょう。また、動作だけでなくユーザーにとってわかりやすい文章になっているか、操作に迷う部分はないかなど、ユーザー目線で確認することも重要です。運用テストを繰り返して問題がない状態に調整が完了したら、実際の運用を開始できます。

SMS認証の活用事例

多くの企業で、SMS認証サービスを導入してSMS認証を実現しています。ここでは、実際にSMS認証を活用している3つの企業の事例を見ていきましょう。

株式会社NTTドコモ

国内最大手の移動体通信事業者として知られる株式会社NTTドコモ様は、動画や音楽配信、金融・決済サービスまで幅広く展開する企業です。

同社が2022年7月にスタートした金融分野の新たなサービス「dスマホローン」は、いわゆる「無担保ローン」サービスです。ドコモの回線を契約されていたり、dカードを持っていたりするお客様は利用時の金利が優遇されます。

このdスマホローンでは利用時にSMS認証が必須であり、信頼性と可用性を重視してNTTコム オンラインが提供するSMS認証サービス「空電プッシュ」を導入しました。サービス導入以来、大きなトラブルはなくお客様は安定的にSMS認証を利用できています。さらに電話がつながらないお客様に対して、SMSで用件や通知を送信することで、企業とお客様双方の無駄な時間を削減する副次的な効果も生まれました。

株式会社ネットスターズ

株式会社ネットスターズ様は、日本におけるQRコード決済のパイオニアであり、企業のDXサポートなど幅広いサービスを提供する企業です。同社が開発した神奈川県によるキャッシュレス・消費喚起事業「かながわPay」のアプリでは、アカウント作成時にSMS認証による本人確認が必要でした。

そこで、数あるSMS認証サービスのなかから到達率と安定性の高さが特徴のNTTコム オンラインが提供する「空電プッシュ」を導入。その結果、必要な方にきちんと認証コードが届く安定した運用を実現しました。第1弾・第2弾のキャンペーン後には「かながわPay」アプリのダウンロード数は約185万件にも上り、多くのユーザーに空電プッシュによるSMS認証が受け入れられていることがわかります。

株式会社サミーネットワークス

株式会社サミーネットワークス様は、パチンコやパチスロといった遊技機関連のオンラインゲームの開発・運営に携わる企業です。2023年3月にはオンラインのゲームセンター「GAPOLI」をリリースしました。同社では同一人物が複数のアカウントを作ることを防ぎ、不正を防止することを課題としていました。

そこで携帯電話番号に紐づいた認証を行えるSMS認証に着目し、NTTコム オンラインが提供する「空電プッシュ」を導入。SMS認証を実装すると、無料トライアルキャンペーン実施時にも複数アカウントを作成して無料で遊び続けるといった不正も起こらず、健全な運営ができるようになりました。また日本向けオンラインゲームという性質上、国内のユーザーのみを絞り込む必要がありますが、その点でも国内の電話番号のみを対象にできるSMSが役立っています。

SMS認証サービスの選び方

SMS認証サービスを利用することで、SMS認証の仕組みを導入することができます。SMS認証サービス事業者からはAPIが提供されていることが多いので、自社サービスへの組み込みも可能です。

SMS認証サービスを選定する際には、以下のポイントを気にするべきです。

到達率

SMS認証においては、ワンタイムパスワードのSMSが確実に届くことが求められます。到達率や安全性が高い国内キャリア接続のサービスをお勧めします。

送信処理能力

SMS認証は、エンドユーザーが要求してから迅速に到着することが重要です。SMS事業者の送信処理能力もポイントになります。

メッセージ伝送経路

認証行為のためのSMSメッセージは秘匿性が重要視されます。伝送路の暗号化等の安全性はもちろんのこと、SMS送信経路が明確な国内キャリア接続のサービスをお勧めします。

サポート体制

SMS認証を導入する場合、24時間利用されることが前提です。サポート体制やサービスの安定性など、信頼できるサービスを選ぶ必要があります。

セキュリティ対策

セキュリティ強化のためのSMS認証だからこそ、セキュリティ対策やサービス運営ポリシーが万全であることが重要です。

API連携

導入を検討しているSMS認証サービスが、自社システムとAPI連携が可能かどうかを確認することも重要です。API連携に対応していないSMS認証サービスの場合、システムの改修が必要な場合があり導入までに手間や時間がかかってしまいます。

対応キャリア

SMS認証サービスが対応しているキャリアも確認しておきましょう。ドコモ、au、ソフトバンクなどの主要キャリアにはほとんどのサービスが対応しています。しかし、それ以外のキャリアの対応可否についてはサービスによって異なるため注意が必要です。特に、楽天モバイルなどの近年登場して利用者が増えつつあるキャリアについては注意深くチェックしましょう。多くのキャリアに対応しているサービスであれば、より多くのお客様にSMS認証サービスを提供できます。

我々の提供するSMS認証サービス「空電プッシュ」は上記7点について万全のものを提供します。詳しくは、こちらをご確認いただければと思います。

SMS認証をご検討のかたは、ぜひ空電プッシュにご相談ください。

関連記事:法人向けSMS送信サービスを選ぶ際の6つのポイント

接続方式

SMS認証サービスの接続方式には、主に「国内直収接続」と「国際網接続」の2つがあります。国内直収接続とは、国内の携帯キャリアと直接接続する手法です。国内ネットワークでメッセージが処理されるため、配信スピードが速く、セキュリティ面でも信頼性が高いとされています。

国際網接続とは、国外の通信事業者を経由してSMSを配信する方法です。国内直収接続よりも配信速度や信頼性が低い場合があります。また、大手キャリアなどでは、フィルタリングによって国際網接続サービスからのメッセージがブロックされるケースもあるため注意が必要です。

関連記事:SMS認証サービスの選び方・比較のポイントと活用事例を解説

SMS認証にSMS認証サービスを活用しよう

SMS認証とは、ユーザーがWebサービスやアプリへの登録・ログインする際にSMSを使用して本人確認を行う認証方法です。多要素認証の1種であり、企業としても導入しやすいことから活用が広がっています。

企業がSMS認証を実現するには、SMS認証サービスの利用がおすすめです。SMS認証サービスはさまざまな企業から提供されていますが、選ぶ際には到達率や送信処理能力、対応キャリアなどの複数の観点から検討しましょう。

NTTグループの「SMS認証サービス」は、認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供。99%超の到達率で認証コードを確実に届けます。SMS認証を支える様々な機能を一括で導入でき、工数の大幅削減が可能です。さらに、ユーザーがSMSでの対応が難しい場合はメールや音声による認証も可能です。SMS認証の導入をお考えなら、ぜひNTTグループの「SMS認証サービス」をご検討ください。