自社サービスやアプリのセキュリティ向上のため、SMS(ショートメッセージサービス、ショートメール)認証の導入を検討している企業も多いのではないでしょうか。SMS認証の仕組みをしっかりと理解したうえで運用したいと考える担当者のためにこの記事では、SMS認証の目的や仕組み、導入すべき理由、サービスを選ぶポイントなどを解説します。

SMS認証とは?SMSを利用する多要素認証

SMS認証とは、セキュリティ対策として用いられる多要素認証の1つです。携帯電話の番号を宛先にメッセージを送受信できるサービス「SMS」を利用することで、確実に本人へメッセージを届けられることから、有効な多要素認証とされています。具体的にはサービスサイトやアプリへの登録やログイン時にSMSで4桁か6桁の認証コードやショートコードと呼ばれる数字が送信されます。ユーザーは受信したコードを各サイトやアプリ内で入力すれば、登録・ログインできる仕組みです。ここでは多要素認証とは何かを紹介し、企業が多要素認証を導入すべき理由や必要性、種類、多要素認証にSMSが選ばれる理由などを解説します。

(関連記事:SMS認証とは?携帯電話番号の本人確認で所有者認証

企業が多要素認証を導入する理由と必要性とは

SMS認証は、多要素認証の1つです。企業がSMS認証などの多要素認証を導入すべき理由は、サイバーセキュリティを強化するためです。2022年現在でも、サイバー攻撃による情報漏洩などの被害がニュースで取り沙汰されています。ログイン情報が盗まれ不正アクセスされてしまうと、個人情報や機密情報などの保存データの流出、ホームページの改ざん、サーバのシステム障害などさまざまなリスクが高まります。

不正アクセスされてしまうのは、IDやパスワードを使いまわしたり、単純で特定が容易なものを設定してしまっているのも原因の1つです。経済産業省では、こうしたサイバー攻撃による不正アクセス防止のための注意喚起を行いました。これを受け、経済産業省を含む、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンターが連名で「多要素認証の利用」をリスク低減のための措置として、企業への導入を推奨しています。

多要素認証とは?セキュリティレベルと手段の種類

多要素認証とは、セキュリティ強化を目的とした、3種類の異なる要素を使って認証する方法です。3種類の要素は「知識情報:パスコードやPINコード、秘密の質問など」、「所持情報:スマートフォンやハードウェアトークン、ICカードなど」、「生体情報:指紋や声紋、静脈など」に分けられます。このうち、2つ以上の異なる認証要素で認証するのが多要素認証です。異なる要素なので「パスコード」と「秘密の質問」は、複数の認証を行っていますが、多要素認証ではなく、同じ「知識情報」での二段階認証です。

多要素認証は、あくまでも「知識」「所持」「生体」から、異なる2つの要素を認証する方法を指します。そのため、SMS認証はIDとパスワードなどの「知識情報」と、スマートフォンなどの「所持情報」の要素を使った多要素認証といえるのです。セキュリティレベルは「AAL (Authenticator Assurance Level)」という3段階のレベルで次のように定義されています。「AAL1:単要素認証でOK」「AAL2:2要素認証が必要(ソフトウェアベースでOK)」「AAL3:2要素認証が必要(2要素目はハードウェアを用いたものは必要)」の3段階です。

具体例としては「AAL1はパスワードだけで認証」「AAL2はパスワードとSMS認証が必要」「AAL3はパスワードとハードウェアトークンなどが必要」と定義されています。多要素認証にはSMS認証以外にもさまざまな手段があるなか、なぜSMSが多要素認証として選ばれるのでしょうか。

多要素認証にSMSが選ばれる理由は利便性とコスト面

さまざまな種類がある多要素認証の方法からSMSが選ばれる理由は、ユーザーの利便性とコスト面です。前述したように、SMS認証ではユーザーが所持する携帯電話番号宛にピンポイントで認証コードやショートコードを送信できます。

万が一、ログイン情報が第三者に知られていたとしても、本人に直接コードなどを知らせることができるので、不正アクセスのリスクを低減できるのです。ユーザーは、スマートフォンや携帯電話さえ紛失していなければ、高い確率で不正アクセスを防げます。また、SMSはデフォルトでインストールされたアプリなので、ユーザーに対して新たにアプリのインストールや設定を促す必要がありません。SMS送信には料金がかかりますが、新たにシステムを開発する必要もないので、コストを抑えることもできます。

SMS認証の仕組み|ユーザー側と企業側それぞれで解説

ここでは、SMS認証はどのような仕組みなのか、ユーザー側と企業側それぞれの流れを解説します。

ユーザー側の流れ

ユーザー側の流れは「サービスのログイン画面でIDとパスワードを入力」「2段階認証画面で携帯電話番号の入力」「4桁か6桁の認証コードを受信」「受信した認証コードをログイン画面で入力」となり、コードが正しければログイン可能です。一般的に、ユーザーが電話番号を入力し送信したと同時に認証コードの送信が行われます。

企業側の流れ

企業側の流れは、SNS送信サービスを利用しているケースで解説します。流れは「ユーザーからSMS認証の要求を受ける」「SMS送信サービスにAPI経由で認証コードの送信を要求する」「ユーザーに認証コードが送信される」「該当サービスで認証コードが入力される」「SMS送信サービスからAPI経由で送達結果が通知される」となり、正しい認証コードが確認されれば認証完了です。

SMS認証を必要とするサービスとは?導入理由も解説

ここでは、SMS認証がどのようなサービスで必要とされているのか、種類と導入理由を解説します。

LINEやTwitterなどのSNS|個人を特定するため

LINEやTwitter、InstagramなどでSMS認証が必要となっています。その理由は、個人を特定するためです。SNSではアカウントの乗っ取りや不正アクセスによって、なりすましで虚偽情報を発信されたり、詐欺に利用されたりするリスクがあります。そのため、SMS認証によりセキュリティを強化して、ユーザーが安心して利用できる環境づくりがされているのです。

銀行などの金融機関|金銭を直接やり取りするため

銀行などの金融機関でも、SMS認証が採用されています。銀行などは、金銭を直接やり取りするサービスを扱っている機関です。第三者が口座情報と暗証番号を入手してしまうと、不正出金などのリスクが高くなります。SMS認証を導入していれば、個人を確認したうえでのサービス提供が可能です。第三者が暗証番号を不正に入手したとしても、それだけでは金銭のやり取りはできません。

Yahoo! JAPAN IDやメルカリ|金銭を間接的にやり取りするため

Yahoo! JAPAN IDやメルカリなども、SMS認証が導入されているサービスです。これらサービスのアカウントが乗っ取られ不正アクセスされてしまうと、さまざまなリスクが伴います。Yahoo! JAPAN IDは、ショッピングやオークションサービス、有料サービスへの登録などが可能です。メルカリでも、不正に購入されたり出金されたりする被害につながります。どちらのサービスも、クレジットカードの登録ができるので、被害が大きくなる可能性もあるでしょう。SMS認証により不正ログインできなければ、これらの被害を未然に防ぐことができるのです。

ゲームアプリ|複数登録を避けるなど

ゲームアプリでも、SMS認証が導入されているケースがあります。1人のユーザーによる複数アカウント登録を避けられることや、他のユーザーが不正アクセスするのを防ぐことが可能です。1人が複数アカウントに登録できてしまうとポイントやアイテムなどの不正取得につながり、不正アクセスでアカウントが乗っ取られると課金による金銭的な被害につながってしまいます。SMS認証なら、1つのスマートフォンに1つのアカウントしか登録できなくなり、さらに持ち主しかアクセスできない環境をつくることができるので、不正アクセスを防げるのです。

SMS認証コードが届かない原因|解決方法は?

SMS認証を導入するとユーザーから「認証コードが届かない」という問い合わせを受けるケースもあります。ここでは、認証コードが届かない具体的な原因と、解決方法などを紹介しましょう。

認証コードが届かない場合の考えられる原因

認証コードが届かない原因として考えられるのは「ユーザーが圏外エリアにいる」「機内モードにしている」「SMSや着信を拒否設定している」「電話番号を間違えている」「そもそもSMSが利用できない」など受信側の問題が考えられます。

一方でキャリアやSMS送信サービス側に障害が起こっている場合も想定されます。

認証コードが届かないときの解決方法

認証コードを送信する企業側は、ユーザーが問題なく受信できるように促せる環境づくりが重要です。コードが届かない原因や問題を解決する方法をユーザーに案内できなければ、サービスを利用してもらうチャンスを逃してしまいます。SMS認証を導入するなら「よくある質問」などでSMS認証コードが届かない原因と解決方法を紹介したり、問い合わせに対しスムーズな案内ができるようにしたりするなどの準備も必要です。受信するユーザー側は、そもそもSMS機能のついたプランに加入しているのかを調べたうえで、各種の受信拒否設定の確認をしてみてください。

(関連記事:SMSが届かないのはなぜなの?原因を究明しよう!

SMS送信サービスの選び方!4つのポイント

SMS認証を導入する場合、SMS送信サービスを利用するのが一般的です。SMS送信サービスの選び方としてポイントになるのは「国内直収接続」「API連携」「送信処理能力」「セキュリティとサポート体制」の4つです。ここでは、それぞれのポイントについて解説します。

国内直収接続|安定通信で送信できる

SMS送信サービスは、国内直収接続を選ぶのがポイントです。SMS送信サービスには、国内の携帯キャリアと直接接続する安定通信が可能な「国内直収接続」と、海外の回線を経由して日本の携帯電話に送信する「国際網接続」があります。国際網接続の場合、ユーザー側で海外からの受信を拒否している可能性があるので、国内ユーザーが中心のサービスなら国内直収接続は必須です。

APIの連携|安全に利用できる

自社が展開するサイトやアプリ、システムなどと、APIでSMS認証を連携できるサービスを選ぶのもポイントです。APIなら、スムーズに自社サービスにSMS認証を導入することができます。

送信処理能力|大規模案件でもスムーズな送信が可能

送信処理能力もSMS送信サービスを選ぶポイントです。送信処理能力が高ければ、短時間で大量の送信ができるので、大規模案件でもスムーズに対応できます。

また、到達率も重要です。到達率が低ければ、それだけサービスの提供機会を逃してしまうことになります。

セキュリティやサポート体制|金融機関に対応できるセキュリティチェック基準

SMS送信サービスは、セキュリティやサポート体制で選ぶのもポイントです。例えば、金融機関などのコンピュータシステムの監査基準にも準拠するサービスを選べば、高いセキュリティを備えられます。また、SMS認証はいつトラブルが起きるかわかりません。24時間365日サポートが受けられるサービスを選ぶのもポイントです。

SMS送信サービスの導入方法|運用開始までの具体的な流れ

まず、自社のシステムとAPI連携できるサービスを選びましょう。前述したように、API連携できるサービスなら、スムーズに自社のサイトやアプリなどがSMS確認コードを送信できる環境をつくれます。次に、SMS認証サービスに自社仕様のSMS送信を指示するための、機能開発と実装が必要です。難しく感じますが、サンプルや仕様書が準備されているので、専門的な知識がなくても開発や実装はスムーズに進められます。最後に、SMS送信サービスと自社のサービスが連携して認証コードが送信できているか、遅延なく送ることができているかなどテストを行い、問題なければ運用開始です。

SMS認証を導入しセキュリティ強化を進めましょう!

SMS認証は、サイバーセキュリティ強化が目的の多要素認証の1つです。IDとパスワードだけのセキュリティでは、不正アクセスを防ぎきれません。SMS認証なら自社のサイトやアプリの安全性が高まるので、ユーザーにとっても安心して利用できる環境をつくれます。SMS認証の導入方法に悩んでいるなら、まずはNTTコム オンラインが運営する「空電プッシュ」にご相談ください。