SMS認証は、ECサイトやアプリのログイン時に本人確認として使われる方法です。従来のメールアドレスとパスワードの組み合わせによる認証に加えて二段階認証として利用すれば、さらにセキュリティが高められるため多くの企業で導入が進んでいます。SMS認証を導入するためには、基本的にはSMS認証サービスを提供する会社との契約が必要となります。
この記事では本人確認を強化できるSMS認証のメリットや活用シーン、導入方法について紹介します。またSMS認証サービスを導入するときの選び方のポイントもお伝えしますので、参考にしてください。
- SMS認証とは、携帯電話番号宛てにワンタイムパスワードを送信し、サービスへのログインに使用する仕組み
- 携帯電話番号を用いるSMS認証には、アカウントの量産取得の防止や転売対策、セキュリティの強化など多くのメリットがある
- SMS認証を導入する際には「SMS受信拒否設定をしているユーザーがいる」「キャリアの契約プランによってはSMSが利用できない」といった点に注意が必要
- SMS認証を利用するにはSMS認証サービスの導入が必要で、接続方式や送信性能、対応キャリアなどを確認して適したものを選定することが重要
目次
- SMS認証とは?
- なぜSMS認証のような「二段階認証」が求められるのか
- 本人確認としてSMSが活用される理由
- SMS認証における二段階認証と二要素認証の違い
- SMS認証の方法
- SMS認証のメリット
- SMS認証のデメリット
- SMS認証はどのようなシーンで採用されている?
- SMS認証導入の流れ
- SMS認証サービスを選ぶポイント
- SMS認証の活用事例
- SMS認証でサービスの安全性を高めてトラブル回避!
SMS認証とは?
SMS認証とは、携帯電話番号宛にワンタイムパスワードをSMSで送信し、そのパスワードをサービスログイン時に入力してもらう、といった二段階認証の1つです。
SMSを利用したセキュリティ対策
SMSを通じて携帯電話番号宛に送信されたパスワードをログイン時に入力してもらうため、携帯電話を所有する証明となり、セキュリティが向上します。
日常生活とスマートフォンが密接な関係にある現代社会では、悪意ある他者にメールアドレスやパスワードのログイン情報が乗っ取られてしまうと、甚大な被害を受けることも珍しくありません。そのため、SMS認証は、他人と被ることのない携帯電話番号に認証コードを送ることで本人認証を行い、金融取引や電子決済サービスを安全に利用する認証方法として活用されています。
第三者の不正利用を防げる
悪意のあるユーザーがサイトに登録しようとして適当な携帯電話番号を登録したとしても、入力した番号にしか「認証コード」が届かないため、本人が知らないところで、サイトに登録されることはありません。また、本人が誤操作で電話番号を入力してしまったとしても、認証をしない限り正式にサイトへ登録されません。
なぜSMS認証のような「二段階認証」が求められるのか
SMS認証は「二段階認証」の一種として認知されています。多くのサイトやアプリでは、IDやパスワードなどの認証情報を入力することではじめてログインできるシステムを提供しています。そして、「一段階認証」しか設けていないサイトやアプリも少なくありません。もちろん、サイトの運営会社はログイン情報が流出しないよう、セキュリティ対策に取り組んではいますが、一段階認証だけでは、ログイン情報が漏れてしまえば簡単に不正利用されてしまう可能性も否めません。
近年、世界中でキャッシュレス化が推進されていることにより、金融機関や証券会社との取引もオンライン化され、ログイン情報のセキュリティ対策は個人、法人関係なく、重要なテーマです。その中で、SMS認証は、不正利用のトラブルを避けるために無視できない方法となっています。
関連記事:SMS認証とは?導入の必要性と選び方、活用事例を解説
本人確認としてSMSが活用される理由
SMSが本人確認の手段として広く活用されているのは、携帯電話の普及率が非常に高く、多くの人が常に端末を持ち歩いていることが背景にあります。SMSは電話番号宛に直接送信されるため本人に届く確率が高く、メールよりも開封率が高いのが特徴です。
また、電話番号はキャリアの審査を通過しなければ取得できないため、フリーメールアドレスなどと比べて信頼性が高いという側面もあります。
さらに、SMSはその端末でしか受信できないため、たとえログイン情報やパスワードが第三者に盗まれても、別の端末から認証コードを確認することはできません。このように、SMS認証はセキュリティの高さやユーザー到達率などメリットが多く、電話番号宛にワンタイムパスワードを送信する仕組みが多くの場面で採用されています。
SMS認証の仕組みについては以下の記事で詳しく解説しているので、ぜひ併せてご覧ください。
関連記事:SMS認証で本人認証を確実に!SMSを活用するメリットや活用事例を解説
「NTT CPaaS」 認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供
SMS認証における二段階認証と二要素認証の違い
SMSを使った認証方法として、「二段階認証」と「二要素認証」が挙げられます。一見すると名称が似ていますが、それぞれ仕組みが異なります。
二段階認証は、認証プロセスを2段階に分けて行う方式です。例えば、最初にIDとパスワードを入力し、その後SMSで送られてきたワンタイムパスワードを入力して本人確認を行うケースがこれに該当します。
一方、二要素認証は「知識要素(パスワードなど)」「所有要素(スマートフォンやICカードなど)」「生体要素(指紋認証など)」のうち、異なる2種類の要素を組み合わせて行う認証方式です。SMS認証であれば、パスワード(知識要素)とスマートフォン(所有要素)を用いることで、二要素認証として成立します。
二段階認証は複数の認証ステップがあれば要素が同じでも成り立ちますが、二要素認証では必ず異なる2つの認証要素を使用する必要がある点が、両者の大きな違いです。
二段階認証については以下の記事で詳しく解説しているので、こちらもぜひ参考にしてください。
SMS認証の方法
ここでは、SMS認証の具体的な方法を解説します。ユーザー側の流れと企業側の流れをそれぞれ紹介するので、詳しい手順を把握しておきましょう。
ユーザー側の流れ
まず、SMS認証を行う際のユーザー側の流れを紹介します。
Webサイトやアプリで携帯番号を登録
ユーザーが特定のWebサイトやアプリを使おうとするところからSMS認証は始まります。登録制のWebサイトやアプリの場合、まずは画面内で携帯電話番号を登録する必要があります。
登録した携帯番号宛てにSMSでワンタイムパスワードを送付
携帯番号をWebサイトやアプリに登録すると、その番号に対してSMSでワンタイムパスワードが送られてきます。ワンタイムパスワードは通常のパスワードとは異なり、一定時間ごとに異なるパスワードが発行され、その一度きりしか使えません。
ワンタイムパスワードをサイトやアプリの画面で入力
ユーザーがワンタイムパスワードをWebサイトやアプリのログイン画面で入力すると認証が完了し、ユーザーは正式にWebサイトやアプリを利用できるようになります。なお、ワンタイムパスワードを入力するまでの時間に制限が設けられていることがあります。ワンタイムパスワード入力の際に手間取っていると、不正利用の疑いが強くなるので手続きは無効となります。
企業側の流れ
ユーザーがWebサイトやアプリで電話番号を入力して認証をリクエストすると、その情報は自社のシステムからAPIを通じてSMS認証サービスに送信されます。SMS認証サービスはリクエストを受け取ると、指定された電話番号宛てにワンタイムパスワードを含むSMSを送信します。
続いて、ユーザーが届いたワンタイムパスワードをログイン画面に入力すると、その情報は再びSMS認証サービスを経由してWebサイトやアプリに送信されます。送信されたコードとユーザーが入力した内容が一致すれば、認証は完了です。
通常は上記の流れで認証が進みますが、ユーザーが入力した電話番号が間違っていたり、携帯電話の契約プランにSMS利用が含まれていなかったりすると、認証コードが届きません。SMSの認証コードが届かない原因や対策については以下の記事で詳しく紹介しているので、こちらもぜひ参考にしてください。
関連記事:SMSの認証コードが届かないのはなぜ?原因と対策を解説
SMS認証のメリット
SMS認証では携帯電話番号を使用して本人確認をするため、他人が不正にアカウントを利用することを抑制できるなど数多くのメリットがあります。ここでは、SMS認証を導入することで、どのようなメリットがあるかをお伝えします。
SNSやサービスのアカウントの量産取得を制限できる
SNSやECサイトなどのサービスでは、メールアドレスをアカウントのIDとして使用することが少なくありません。メールアドレスは比較的簡単に1人で複数取得することが可能なため、メールアドレスをIDとする会員登録の認証方法だけではアカウントを量産される可能性があります。その量産したアカウントを使って不正に特典を獲得するなどのトラブルなども発生しています。しかしSMS認証であれば、携帯電話番号に紐付いているため、アカウントの量産を防ぐことができます。
転売対策につながる
アカウントの量産制限は、近年問題となっている転売対策にも効果的です。人気商品が販売される際には大量購入による買い占めや転売が相次いでおり、企業側は対策が求められています。
先述の通り、SMS認証を導入すると1人による複数アカウントの取得の防止が可能です。その上で、アカウントごとの購入数に制限を設けておけば、転売目的の買い占めを抑制できます。
セキュリティを強化できる
会員登録やログインの際にSMSによる二段階認証を導入することで、セキュリティを強化できます。アカウントの量産だけでなく、悪意のある第三者の不正利用も防ぐことができます。
ユーザーの負担が少ない
SMS認証はSMSに送られた4〜6桁のショートコードをWebサイトに入力して本人確認を行うため、スマートフォンを持っているユーザーなら利用可能な認証方法です。ユーザーとしては普段から使い慣れているスマートフォンでの操作になるため、心理的な負担が少なくすむのがメリットでしょう。またSMSの受信には料金がかからず、ユーザーに金銭的な負担をかけることもありません。
企業が導入しやすい
企業がSMS認証を導入するメリットの1つに、導入のハードルの低さが挙げられます。ログインや会員登録での認証では、SMS認証以外にトークンでの認証や生体認証などの認証方法も利用可能です。
トークンでの認証は、カードやキーホルダーなどの作成やシステムの導入にコストがかかる傾向があり、生体認証はスマートフォンが生体認証に対応していない端末では利用できないなどのデメリットがあります。
それに対してSMS認証はスマートフォンに標準のアプリを利用するため高額なシステムが不要で、1からシステムを作る必要がないことがメリットです。また、自社のシステムにSMS認証サービスを連携するだけで利用を開始できるため、設置しやすさも魅力です。
SMS認証のデメリット
セキュリティが高く導入しやすいなどメリットの多いSMS認証ですが、認証しようとしてもSMSが届かないといったトラブルや、携帯電話会社の契約内容によっては利用できないといった問題もあります。これらのデメリットを理解したうえで、SMS認証の導入を検討してください。
SMS受信拒否設定をしている場合には届かない
SMSは、迷惑メール防止などの目的で受信設定を変更することが可能です。認証用に送信したメッセージがなかなかユーザーに届かないトラブルでは、迷惑メッセージとして自動で振り分けや削除されてしまうなど受信設定による原因が多いです。
拒否設定では海外からのメッセージだけでなく、国内の事業者からのメッセージを拒否できる設定もあり、ユーザーがあまり意識せずに設定してしまっていることもあります。
認証用にSMSを送信するときには、あらかじめ受信拒否設定や迷惑メッセージ設定を確認してもらうためにアナウンスするなどの対策が必要になります。
関連記事:SMSが届かない12の原因と対処法を受信側・送信側に分けて解説
関連記事:SMSで既読はわかる?確認する方法やサービスを紹介
格安SIMではプランによって利用できない
利用料金の安さが魅力の格安SIMでは、プランによってSMSが利用できません。動画やインターネットを利用する目的で格安SIMを契約している場合、通話機能のないデータ通信専用のSIMを契約している場合があります。
SMS認証では電話番号を介してメッセージを送信する必要があるため、電話番号がないデータ専用SIMで契約している端末は利用できないのがデメリットです。パソコンやタブレットなどで認証をしたいけれども、データ専用SIMを使用しているというようなSMSが利用できない方のために、SMS以外の認証方法を用意しておく必要があるでしょう。
端末を紛失した場合に認証ができない
SMS認証は携帯電話番号宛てにワンタイムパスワードを送信する仕組みのため、その電話番号が登録されている端末が手元になければ認証できません。しかし、「スマートフォンを紛失したため、急ぎ別の端末からアカウントにアクセスしたい」といったケースは十分考えられます。そのため、端末を紛失した際の代替手段やサポート体制について、あらかじめ明確にしておくことが重要です。
SMS認証だけでは脆弱性は残る
SMSには脆弱性もあり、他人の携帯電話番号に送信されたSMSを不正に取得するSMSインターセプトという手法が見つかっています。SMSの二段階認証は安全な方法ですが、SMSの脆弱性を突かれて情報を漏洩させないためには、怪しい不正アプリを使ったり、不正Webサイトにアクセスしたり、しないようにしましょう。
SMS認証にもデメリットがありますが、携帯電話による本人確認かつほかの認証よりも導入と使用が簡単なことから標準的な二段階認証として幅広く導入されています。
SMS認証はどのようなシーンで採用されている?
SMS認証は、SNSや電子決済へのログインなど、不正登録やなりすましの防止に活用されています。
SNS(ソーシャルネットワーキングサービス)や電子決済の本人確認
SNSへの登録やログインでSMS認証が用いられることが増えています。他ユーザーによって、自身のSNSのアカウントを乗っ取られてしまい、詐欺や虚偽情報の発信されてしまうことを防ぐため、SMSによる二段階認証でセキュリティを高めているケースが少なくありません。
また、インターネット通販などの電子決済においてもSMS認証の導入が一般化しています。口座番号やクレジットカード番号など重要な情報を扱う場合、SMS認証があることでユーザーは安心してサービスを利用できます。
不正登録やなりすまし防止の本人確認
メールアドレスは端末をまたいで利用が可能ですが、携帯電話番号は携帯電話端末1台につき1つです。その特徴を利用して、キャンペーンや転売を目的とした大量の会員登録などの「不正登録」を防ぐことができます。
そのほか、「なりすまし防止」の方法としてもSMS認証は注目されています。カード会社のポイント交換など、ユーザーを特定することが難しい場合の不正利用に活用されています。
SMS認証導入の流れ
ここまでSMS認証についてと、導入した場合のメリット・デメリットについて紹介してきました。自社のサービスでSMS認証を利用するには、サービスを提供している会社との契約が必要になります。
ここからは、契約するサービス選定から運用を開始するまでの導入の流れについてお伝えします。
サービスの選定
SMS認証を利用するには、SMS認証サービスとの契約が必要です。セキュリティ性能や価格、サービス内容はSMS認証サービスの事業者によって違いがあります。自社の導入の目的を明確にして必要な機能が利用できるのか、費用は効果に見合っているのかをなどを確認することが大切です。
サービス選定を選定では次のようなポイントに注意して選定するとよいでしょう。
- 国内直収接続のサービスか
- 送信性能が高いか
- 自社システムに連携しやすいか
- 多くのキャリアに対応しているか
- 遅延対策が充実しているか
これらの選定のポイントについては、のちほど詳しく解説していきます。
API連携の実装
SMS認証サービスの契約を済ませた後は、SMS認証を利用するために自社のシステムとSMS認証サービスをAPI連携します。APIは「Application Programming Interface」の略で、ソフトウェア同士が情報をやり取りするための接点となるものです。連携すれば、SMS認証のプログラムを1から組むことなくSMSを自動送信できるようになります。
連携の設定では配信サービス会社が提供している仕様書やサンプルコードをもとに連携します。連携の過程で問題が発生した場合に相談できるサポートのあるサービスを選択すれば、より負担を少なくして導入できるでしょう。
運用前テストの実施
自社サイトとSMS認証サービスがAPI連携した後は、問題なく送信できるかをテストします。SMS認証は自社サービスのセキュリティ対策に大きく影響するため、問題が解消されるまで何度も運用テストを行う必要があります。
運用テストで確認したいのは次のようなポイントです。
- ユーザーが正しくSMS送信できているか
- 確認コードの有効時間が制御できているか
- 遅延なく送信できるか
- SMSの文章がわかりやすいか
テストで問題がなければ、運用を開始しましょう。
SMS認証サービスを選ぶポイント
数多くあるSMS認証サービスの中から契約する会社を選ぶときには、公式サイトを確認したり資料を請求したりして比較検討する必要があります。利用にかかる費用や機能だけで比較せずに、自社システムへの導入しやすさやSMSを確実に届けられるかなどの運用面での比較も大切です。
不明な点があれば問い合わせて詳細を説明してもらい、自社の目的に合ったSMS認証サービス会社を選択してください。
国内直収接続のサービスを選ぶ
SMS認証サービスは、サービスを提供している会社によって接続方法が異なります。接続方法には「国内直収接続」と「国際網接続」の2種類があり、送信に利用する電話回線に違いがあります。
国内直収接続は、国内の大手携帯電話キャリアと接続してSMSを送信する方法です。それに対して国際網接続は、海外の回線網を通じてSMSを配信しています。
近年海外からの迷惑メールが増えたことから、海外から受信したメールを迷惑メールと判断して拒否設定するような設定をしているユーザーも多くなりました。
SMSを確実にユーザーに届けるためには、国内直収接続の事業者を選択するほうが良いでしょう。
関連記事:SMS送信サービスは、国内の直収接続を利用するのが安心
送信性能が高いサービスを選ぶ
SMS認証を利用した本人確認では、ユーザーが認証コードを希望してからすぐにSMSを受け取れるレスポンスの良さも重要です。SMSの送信処理能力はサービスによって異なり、一度に大量のメッセージを送信した場合に遅延が発生する可能性があります。
ユーザーがストレスなく利用するためには、大規模な案件でも耐えうるサービスを選択する必要があります。契約するサービスを選ぶ際は、1時間あたりの送信数と自社の送信予定量を照らし合わせてストレスなく送信できるサービスを選択しましょう。
API連携がしやすいサービスを選ぶ
SMS認証を利用するには、自社のシステムとSMS認証サービスをつなぐ必要があります。SMS認証サービスが提供しているAPIを利用すれば、1からプログラムを組む必要はありませんが、最低限の開発は必要です。
そのためSMS認証サービスから提供される仕様書やサンプルコードがわかりやすいかどうかや、導入のサポートが受けられるかもサービスを選ぶポイントになるでしょう。
より詳しい選ぶポイントはこちらで解説していますので、ぜひ参考にしてください。
関連記事:法人向けSMS送信サービスを選ぶ際の6つのポイント
対応キャリアが多いサービスを選ぶ
SMS認証サービスを導入する際は、対応しているキャリアの数も重要なポイントです。先述の国内直収接続サービスは、携帯キャリアが提供するネットワークと直接接続する仕組みであるため、どのキャリアに対応しているかを必ず確認しておきましょう。
大手3社であるNTTドコモ、au、ソフトバンクに加え、近年ユーザー数を伸ばしている楽天モバイルに対応しているかどうかも確認が必要です。幅広いキャリアに対応しているサービスを選ぶことで、より多くのユーザーに対応できます。
遅延対策が充実しているサービスを選ぶ
SMS認証では、ユーザーが認証をリクエストしてからコードが届くまでのスピードが重要です。もし認証コードの到着に時間がかかると、ログインや各種手続きがスムーズに進まず、ユーザーにストレスを与えてしまいます。
そのため、SMS認証サービスを選ぶ際は遅延対策の内容も確認するようにしましょう。例えば、APIを通じたリクエストを優先的に処理する機能を備えたサービスであれば、遅延のリスクを軽減できます。
そのほか、操作性やサポート体制なども踏まえて、最適なサービスを選定しましょう。SMS認証サービスの選び方については以下の記事で詳しく紹介しているので、こちらもぜひ参考にしてください。
関連記事:SMS認証サービスの選び方・比較のポイントと活用事例を解説
SMS認証の活用事例
SMS認証は、数多くの企業で利用されています。ここでは、様々な活用事例を紹介します。
金融機関向けの本人確認サービスにSMSを利用
SBIグループで金融機関向けの認証認可基盤サービスなどを提供しているSBIデジトラスト株式会社様では、自社が手がける金融機関向けの認証認可基盤サービスで本人確認のためにSMSを利用しています。
以前利用していたSMS認証サービスでは到達率に課題があり、ユーザーの利便性を損なっていました。そこで、到達率の高い別のサービスに乗り換えた結果、認証用のSMSが迅速に届くようになり、ユーザーの不安が解消されています。さらに、他の施策も併せて実施したところ、アカウント作成時の離脱率を3%改善することに成功しました。
アプリ利用開始時の本人認証にSMS認証を導入
テックユニオン株式会社様では、DXのためのアプリケーション開発やBPOなど、損害保険会社に向けたサービスを幅広く展開しています。同社が提供する、事故や災害が発生した際の損害調査用アプリ「Quickcam(クイックカム)」では、利用開始時の本人認証のためにSMS認証を導入しています。
このアプリは24時間365日利用される可能性があるため、確実にSMSを送信できる安定したサービスが求められていました。SMS認証サービスの導入後は、大規模災害時には数千件にのぼるSMS送信にも対応できています。2018年の運用開始以来、一度も障害やエラーは発生しておらず、安定した運用が続いています。
アカウント作成時の認証コード送信にSMS認証を活用
キャッシュレス決済のゲートウェイ事業を中心に、企業のDXサポートなど幅広いサービスを提供している株式会社ネットスターズ。同社では神奈川県によるキャッシュレス・消費喚起事業である「かながわPay」アプリの利用者がアカウントを作成する際の認証コード送信のためにSMS認証を活用しています。
「かながわPay」は県が主導する事業であるため、安定してSMSを送信できるサービスでなければなりません。複数のサービスを検証した結果、到達率が高く安定して利用できるサービスを導入しました。キャンペーンなどの施策によってアプリは約185万ダウンロードされましたが、問題なく運用できています。
SMS認証でサービスの安全性を高めてトラブル回避!
IDやパスワードだけに頼ったセキュリティ対策だと、情報が漏れた場合、簡単に不正利用されてしまいます。SMS認証などと組み合わせた二段階以上のセキュリティ対策があれば、安全性は高まるでしょう。それに、SMS認証は運営者にとっても、ユーザーにとっても手間がかかりません。それゆえに支持率が高く、幅広い分野で導入されている方式です。
SMS認証サービスの導入や見直しをご検討中の方には、NTTグループの「SMS認証サービス」がおすすめです。認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供。99%超の到達率で認証コードを確実に届けます。SMS認証を支える様々な機能を一括で導入でき、工数の大幅削減が可能です。
自社システムのセキュリティを高めたいとお考えの方は、ぜひお気軽にお問い合わせください。
