2021/02/10

もう金融サービスだけではない！企業がSMS認証を導入する必要性と選び方

企業が多要素認証を導入する理由・必要性

2020年、金融系サービスの不正出金・不正流出が大きな社会問題となりました。第三者が銀行口座番号やキャッシュカードの暗証番号を不正に入手し、サービス新規登録をする、または、証券会社の口座に不正にログインし、偽の銀行口座に送金・出金を行うと言った手口で話題となりました。どれも、「本人性確認のプロセスがなかった」「脆弱だったためになりすましが容易にできてしまった」ことが問題となっています。

また、上記のような金融系サービス以外でも、ID・パスワードによる本人認証方式のみを採用しているサービスでは、悪意のある第三者にID・パスワードを知られた場合、不正ログインによって個人情報流出やクレジットカードの不正利用などの被害に遭う恐れがあります。
他にも、ユーザーが同一のID・パスワードを使いまわしている場合、１つのサービスからID・パスワードが流出した際に他のサービスでも不正実行される可能性があります。

さらに、不正に入手した個人情報を詐欺に利用されることもあり、個人情報を漏洩された被害者だったにもかかわらず、詐欺に加担する加害者になっているケースも危惧されます。

多要素認証を導入すれば、不正に入手した情報を利用した新規登録や流出したID・パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単には登録やログインを許しません。多要素認証は、不正ログイン防止策として有効であると言えます。

実際に、これらの事件を機に、金融庁から各種サービスに対して認証強化の要請、一般社団法人キャッシュレス推進協議会からもコード決済における不正な銀行口座紐づけの防止対策に関するガイドラインが出るなど、認証強化は金融機関には避けては通れないものとなりました。

また、発端となった金融系サービスに関わらず、機微情報を取り扱うSaaSサービスからの引き合いが増えていることをSMS事業者として感じています。消費者向け・法人向けのSaaSサービスに関わらず、機微情報を守るために、なりすましを防止し、セキュリティを高め、不正ログインを防止するために、SMS認証を含む多要素認証が社会的に必要になっている状況と言えます。

多要素認証のセキュリティレベルと手段

多要素認証の必要性が高まっている状況を説明してきましたが、では、多要素認証ではどの手段を導入するべきか、について掘り下げていければと思います。

そもそも、多要素認証とは何でしょうか？

多要素認証（MFA：Multi-Factor Authentication）とは、SaaSサービスへのログイン時、スマホアプリ利用の新規登録時などに、2つ以上の"要素"によって行う認証を指します。

では、要素にはどのような物があるのでしょうか。

「知識情報（その人が知っている情報）」「所持情報（その人が持っているものに付随する情報）」「生体情報（その人の身体的な情報）」の大きく３つがあり、これらのうち2つ以上の要素二要素以上を組み合わせた認証を多要素認証と呼びます。
各要素の認証方式二具体例には以下の表のようなものがあります。

要素	知識情報	所持情報	生体情報
各要素に属する認証方式の例	・IDパスワード・PIN番号・秘密の質問・マトリクス認証	・ハードウェアによるOTP発行（スマートカード等）・スマホアプリ認証・SMSによるOTP伝達・暗号表認証	・指紋認証・顔認証・虹彩認証、網膜認証・静脈認証

※OTPはワンタイムパスワードの略

セキュリティレベルについては、AAL (Authenticator Assurance Level）※という強度で以下のように定義されています。
※NIST（アメリカ政府傘下の国営研究所）によって定義されているNIST SP800-63-3より

強度	条件
AAL1	単要素認証でOK
AAL2	2要素認証が必要 -2要素目の認証手段はソフトウェアベースのものでOK
AAL3	2要素認証が必要 -かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等)

数字が大きいほど強度が高いことを意味しています。

導入において重要な点は、守るべき情報の重要性・深刻度の強度を分けるべきです。
強度が高いということは、認証に時間がかかったり、デバイスを持ち歩く必要が生じたりするため、手間がかかります。電子認証においては、常に「セキュリティの重要度」と「手間」の両面を考える必要があります。

SMS認証も、単一ではAAL1に該当します。ID・パスワード認証（知識情報）とSMS認証（所持情報）を組み合わせることで、AAL2レベルとなり、二要素認証となります。

なお、よく言われる二段階認証とは、認証が2段階（２回）求められる認証方法です。例えば、最初にIDとパスワードを入力して認証し、次の段階で最初のIDとパスワード以外のもので認証します。1回目がIDとパスワード（知識情報）、2回目がSMS認証（所持情報）であれば、二要素認証、かつ二段階認証ということになります。

多要素認証にSMSが選ばれる理由

二要素を組み合わせるためには、知識情報と所持情報、知識情報と生体情報、所持情報と生体情報のいずれかを選択することになります。
コスト面を考えたときに、知識情報は利用するとして、所持情報・生体情報の認証手段をどう選択するかを比較した表が以下になります。

	所持情報			生体情報
	ハードウェアによるOTP発行	スマホアプリによるOTP伝達	SMSによるOTP伝達	生体認証 ※指紋、顔認証等
ユーザビリティ	× ・発行デバイスが手元にないと認証できない	△～〇・スマホのみで認証完結・ガラケーユーザーは利用できない・アプリ起動が手間	〇・届いたSMSのOTPを確認し、転記するだけで認証可能	△～〇・指紋認証、顔認証等、登録が済んでいれば非常に利便性は高い・初期登録の手間有・うまく行かない場合の別導線が手間
コスト	× ・発行デバイスを配布、メンテナンスコストが高価	△～〇・iOS、Android双方を意識したアプリ開発が必要・頻度が多い場合には絶対的コストはSMSより安価・初期登録時にSMS認証は必須	〇・携帯電話番号さえわかっていれば、利用者の携帯電話に対してSMS送信のみで可能・初期開発は安価・SMS1通あたりのコストがかかる	× ・生体認証機能や生体認証がうまくいかない場合の認証手段の準備が必要・スマホを利用した生体認証の場合、初期登録時にSMS認証は必須

AAL2レベルを満たす認証手段として、上記からSMS認証はユーザビリティ・コスト双方のバランスが良いと言えます。

実際、SMS認証の市場全体の送信数は2018年度から2019年度で146.7%増加（ミックITレポートより）しています。多くの企業がSMS認証を多要素認証に採用していることが伺えます。

SMS送信サービスの選び方

SMS送信サービスを利用することで、SMS認証の仕組みを導入することができます。SMS送信サービス事業者からはAPIが提供されていることが多いので、自社サービスへの組み込みも可能です。

SMS送信サービスを選定する際には、以下のポイントを気にするべきです。

・到達率
SMS認証においては、ワンタイムパスワードのSMSが確実に届くことが求められます。到達率や安全性が高い国内キャリア接続のサービスをお勧めします。

・送信処理能力
SMS認証は、エンドユーザーが要求してから迅速に到着することが重要です。SMS事業者の送信処理能力もポイントになります。

・メッセージ伝送経路
認証行為のためのSMSメッセージは秘匿性が重要視されます。伝送路の暗号化等の安全性はもちろんのこと、SMS送信経路が明確な国内キャリア接続のサービスをお勧めします。

・サポート体制
SMS認証を導入する場合、24時間利用されることが前提です。サポート体制やサービスの安定性など、信頼できるサービスを選ぶ必要があります。

・セキュリティ対策
セキュリティ強化のためのSMS認証だからこそ、セキュリティ対策やサービス運営ポリシーが万全であることが重要です。

我々の提供するSMS送信サービス「空電プッシュ」は上記5点について万全のものを提供します。詳しくは、こちらをご確認いただければと思います。

SMS認証をご検討のかたは、ぜひ空電プッシュにご相談ください。