SMS認証は、ECサイトやアプリのログイン時に本人確認として使われる方法です。従来のメールアドレスとパスワードの組み合わせによる認証に加えて二段階認証として利用すれば、さらにセキュリティが高められるため多くの企業で導入が進んでいます。SMS認証を導入するためには、基本的にはSMS送信サービスを提供する会社との契約が必要となります。

この記事では本人確認を強化できるSMS認証のメリットや活用シーン、導入方法について紹介します。またSMS送信サービスを導入するときの選び方のポイントもお伝えしますので、参考にしてください。

目次

SMS認証とは

SMS認証とは、携帯電話番号宛にワンタイムパスワードをSMSで送信し、そのパスワードをサービスログイン時に入力してもらう、といった二段階認証の1つです。

SMSを利用したセキュリティ対策

SMSを通じて携帯電話番号宛に送信されたパスワードをログイン時に入力してもらうため、携帯電話を所有する証明となり、セキュリティが向上します。
日常生活とスマートフォンが密接な関係にある現代社会では、悪意ある他者にメールアドレスやパスワードのログイン情報が乗っ取られてしまうと、甚大な被害を受けることも珍しくありません。そのため、SMS認証は、他人と被ることのない携帯電話番号に認証コードを送ることで本人認証を行い、金融取引や電子決済サービスを安全に利用する認証方法として活用されています。

第三者の不正利用を防げる

悪意のあるユーザーがサイトに登録しようとして適当な携帯電話番号を登録したとしても、入力した番号にしか「認証コード」が届かないため、本人が知らないところで、サイトに登録されることはありません。また、本人が誤操作で電話番号を入力してしまったとしても、認証をしない限り正式にサイトへ登録されません。

電話番号はSIMごとに割り振られる

SMS認証は、「電話番号認証」と言い換えることも可能です。スマートフォンの電話番号はSIM（Subscriber Identity Module）ごとに割り振られています。すなわち、特定のSIMを所有していることが、SMS認証の前提条件です。
なぜメールアドレスではなく電話番号が認証に使われるのかというと、キャリアの審査を受けなければ取得できない情報だからです。スマートフォンや携帯電話のユーザーは、キャリアの審査を通ってはじめて電話番号を割り振ってもらえます。そのうえ、端末を所持していないとSMSは確認できないため、第三者がパスワードを盗んだとしても、別の端末からSMSをチェックすることは不可能です。
このような安全性を踏まえて、SMS認証では電話番号に対してワンタイムパスワードを送る仕組みとなっています。

なぜSMS認証のような「二段階認証」が求められるのか

SMS認証は「二段階認証」の一種として認知されています。多くのサイトやアプリでは、IDやパスワードなどの認証情報を入力することではじめてログインできるシステムを提供しています。そして、「一段階認証」しか設けていないサイトやアプリも少なくありません。もちろん、サイトの運営会社はログイン情報が流出しないよう、セキュリティ対策に取り組んではいますが、一段階認証だけでは、ログイン情報が漏れてしまえば簡単に不正利用されてしまう可能性も否めません。
近年、世界中でキャッシュレス化が推進されていることにより、金融機関や証券会社との取引もオンライン化され、ログイン情報のセキュリティ対策は個人、法人関係なく、重要なテーマです。その中で、SMS認証は、不正利用のトラブルを避けるために無視できない方法となっています。

関連記事：SMS認証の目的とは？本人確認の仕組みと導入理由を解説

SMS認証の方法

ここからはSMS認証の方法を流れに沿って説明します。

Webサイトやアプリで携帯番号を登録

ユーザーが特定のWebサイトやアプリを使おうとするところからSMS認証は始まります。登録制のWebサイトやアプリの場合、まずは画面内で携帯電話番号を登録する必要があります。

登録した携帯番号宛てにSMSでワンタイムパスワードを送付

携帯番号をWebサイトやアプリに登録すると、その番号に対してSMSでワンタイムパスワードが送られてきます。ワンタイムパスワードは通常のパスワードとは異なり、一定時間ごとに異なるパスワードが発行され、その一度きりしか使えません。

ワンタイムパスワードをサイトやアプリの画面で入力

ユーザーがワンタイムパスワードをWebサイトやアプリのログイン画面で入力すると認証が完了し、ユーザーは正式にWebサイトやアプリを利用できるようになります。なお、ワンタイムパスワードを入力するまでの時間に制限が設けられていることがあります。ワンタイムパスワード入力の際に手間取っていると、不正利用の疑いが強くなるので手続きは無効となります。

SMS認証のメリット

SMS認証では携帯電話番号を使用して本人確認をするため、他人が不正にアカウントを利用することを抑制できるなど数多くのメリットがあります。ここでは、SMS認証を導入することで、どのようなメリットがあるかをお伝えします。

SNSやサービスのアカウントの量産取得を制限できる

SNSやECサイトなどのサービスでは、メールアドレスをアカウントのIDとして使用することが少なくありません。メールアドレスは比較的簡単に1人で複数取得することが可能なため、メールアドレスをIDとする会員登録の認証方法だけではアカウントを量産される可能性があります。その量産したアカウントを使って不正に特典を獲得するなどのトラブルなども発生しています。しかしSMS認証であれば、携帯電話番号に紐付いているため、アカウントの量産を防ぐことができます。

セキュリティを強化できる

会員登録やログインの際にSMSによる二段階認証を導入することで、セキュリティを強化できます。アカウントの量産だけでなく、悪意のある第三者の不正利用も防ぐことができます。

ユーザーの負担が少ない

SMS認証はSMSに送られた4〜6桁のショートコードをWebサイトに入力して本人確認を行うため、スマートフォンを持っているユーザーなら利用可能な認証方法です。ユーザーとしては普段から使い慣れているスマートフォンでの操作になるため、心理的な負担が少なくすむのがメリットでしょう。またSMSの受信には料金がかからず、ユーザーに金銭的な負担をかけることもありません。

企業が導入しやすい

企業がSMS認証を導入するメリットの1つに、導入のハードルの低さが挙げられます。ログインや会員登録での認証では、SMS認証以外にトークンでの認証や生体認証などの認証方法も利用可能です。
トークンでの認証は、カードやキーホルダーなどの作成やシステムの導入にコストがかかる傾向があり、生体認証はスマートフォンが生体認証に対応していない端末では利用できないなどのデメリットがあります。
それに対してSMS認証はスマートフォンに標準のアプリを利用するため高額なシステムが不要で、1からシステムを作る必要がないことがメリットです。また、自社のシステムにSMS送信サービスを連携するだけで利用を開始できるため、設置しやすさも魅力です。

SMS認証のデメリット

セキュリティが高く導入しやすいなどメリットの多いSMS認証ですが、認証しようとしてもSMSが届かないといったトラブルや、携帯電話会社の契約内容によっては利用できないといった問題もあります。これらのデメリットを理解したうえで、SMS認証の導入を検討してください。

SMS受信拒否設定をしている場合には届かない

SMSは、迷惑メール防止などの目的で受信設定を変更することが可能です。認証用に送信したメッセージがなかなかユーザーに届かないトラブルでは、迷惑メッセージとして自動で振り分けや削除されてしまうなど受信設定による原因が多いです。
拒否設定では海外からのメッセージだけでなく、国内の事業者からのメッセージを拒否できる設定もあり、ユーザーがあまり意識せずに設定してしまっていることもあります。
認証用にSMSを送信するときには、あらかじめ受信拒否設定や迷惑メッセージ設定を確認してもらうためにアナウンスするなどの対策が必要になります。

関連記事：SMSが届かないのはなぜなの？原因を究明しよう！

関連記事：SMSが届いたかどうか分かる？既読機能で開封済みかチェック

格安SIMではプランによって利用できない

利用料金の安さが魅力の格安SIMでは、プランによってSMSが利用できません。動画やインターネットを利用する目的で格安SIMを契約している場合、通話機能のないデータ通信専用のSIMを契約している場合があります。
SMS認証では電話番号を介してメッセージを送信する必要があるため、電話番号がないデータ専用SIMで契約している端末は利用できないのがデメリットです。パソコンやタブレットなどで認証をしたいけれども、データ専用SIMを使用しているというようなSMSが利用できない方のために、SMS以外の認証方法を用意しておく必要があるでしょう。

SMS認証だけでは脆弱性は残る

SMSには脆弱性もあり、他人の携帯電話番号に送信されたSMSを不正に取得するSMSインターセプトという手法が見つかっています。SMSの二段階認証は安全な方法ですが、SMSの脆弱性を突かれて情報を漏洩させないためには、怪しい不正アプリを使ったり、不正Webサイトにアクセスしたり、しないようにしましょう。

SMS認証にもデメリットがありますが、携帯電話による本人確認かつほかの認証よりも導入と使用が簡単なことから標準的な二段階認証として幅広く導入されています。

SMS認証はどのようなシーンで採用されている？

SMS認証は、SNSや電子決済へのログインなど、不正登録やなりすましの防止に活用されています。

SNS（ソーシャルネットワーキングサービス）や電子決済の本人確認

SNSへの登録やログインでSMS認証が用いられることが増えています。他ユーザーによって、自身のSNSのアカウントを乗っ取られてしまい、詐欺や虚偽情報の発信されてしまうことを防ぐため、SMSによる二段階認証でセキュリティを高めているケースが少なくありません。
また、インターネット通販などの電子決済においてもSMS認証の導入が一般化しています。口座番号やクレジットカード番号など重要な情報を扱う場合、SMS認証があることでユーザーは安心してサービスを利用できます。

不正登録やなりすまし防止の本人確認

メールアドレスは端末をまたいで利用が可能ですが、携帯電話番号は携帯電話端末1台につき１つです。その特徴を利用して、キャンペーンや転売を目的とした大量の会員登録などの「不正登録」を防ぐことができます。
そのほか、「なりすまし防止」の方法としてもSMS認証は注目されています。カード会社のポイント交換など、ユーザーを特定することが難しい場合の不正利用に活用されています。

SMS認証導入の流れ

ここまでSMS認証についてと、導入した場合のメリット・デメリットについて紹介してきました。自社のサービスでSMS認証を利用するには、サービスを提供している会社との契約が必要になります。
ここからは、契約するサービス選定から運用を開始するまでの導入の流れについてお伝えします。

サービスの選定

SMS認証を利用するには、SMS送信サービスとの契約が必要です。セキュリティ性能や価格、サービス内容はSMS送信サービスの事業者によって違いがあります。自社の導入の目的を明確にして必要な機能が利用できるのか、費用は効果に見合っているのかをなどを確認することが大切です。
サービス選定を選定では次のようなポイントに注意して選定するとよいでしょう。

• 国内直収接続のサービスか
• 送信性能が高いか
• 自社システムに連携しやすいか

これらの選定のポイントについては、のちほど詳しく解説していきます。

API連携の実装

SMS送信サービスの契約を済ませた後は、SMS認証を利用するために自社のシステムとSMS送信サービスをAPI連携します。APIは「Application Programming Interface」の略で、ソフトウェア同士が情報をやり取りするための接点となるものです。連携すれば、SMS送信のプログラムを1から組むことなくSMSを自動送信できるようになります。
連携の設定では配信サービス会社が提供している仕様書やサンプルコードをもとに連携します。連携の過程で問題が発生した場合に相談できるサポートのあるサービスを選択すれば、より負担を少なくして導入できるでしょう。

運用前テストの実施

自社サイトとSMS送信サービスがAPI連携した後は、問題なく送信できるかをテストします。SMS認証は自社サービスのセキュリティ対策に大きく影響するため、問題が解消されるまで何度も運用テストを行う必要があります。
運用テストで確認したいのは次のようなポイントです。

• ユーザーが正しくSMS送信できているか
• 確認コードの有効時間が制御できているか
• 遅延なく送信できるか
• SMSの文章がわかりやすいか

テストで問題がなければ、運用を開始しましょう。

SMS送信サービスを選ぶポイント

数多くあるSMS送信サービスの中から契約する会社を選ぶときには、公式サイトを確認したり資料を請求したりして比較検討する必要があります。利用にかかる費用や機能だけで比較せずに、自社システムへの導入しやすさやSMSを確実に届けられるかなどの運用面での比較も大切です。
不明な点があれば問い合わせて詳細を説明してもらい、自社の目的に合ったSMS送信サービス会社を選択してください。

国内直収接続のサービスを選ぶ

SMS送信サービスは、サービスを提供している会社によって接続方法が異なります。接続方法には「国内直収接続」と「国際網接続」の2種類があり、送信に利用する電話回線に違いがあります。
国内直収接続は、国内の大手携帯電話キャリアと接続してSMSを送信する方法です。それに対して国際網接続は、海外の回線網を通じてSMSを配信しています。
近年海外からの迷惑メールが増えたことから、海外から受信したメールを迷惑メールと判断して拒否設定するような設定をしているユーザーも多くなりました。
SMSを確実にユーザーに届けるためには、国内直収接続の事業者を選択するほうが良いでしょう。

関連記事：SMS送信サービスは、国内の直収接続を利用するのが安心

送信性能が高いサービスを選ぶ

SMS認証を利用した本人確認では、ユーザーが認証コードを希望してからすぐにSMSを受け取れるレスポンスの良さも重要です。SMSの送信処理能力はサービスによって異なり、一度に大量のメッセージを送信した場合に遅延が発生する可能性があります。
ユーザーがストレスなく利用するためには、大規模な案件でも耐えうるサービスを選択する必要があります。契約するサービスを選ぶ際は、1時間あたりの送信数と自社の送信予定量を照らし合わせてストレスなく送信できるサービスを選択しましょう。

API連携がしやすいサービスを選ぶ

SMS認証を利用するには、自社のシステムとSMS送信サービスをつなぐ必要があります。SMS送信サービスが提供しているAPIを利用すれば、1からプログラムを組む必要はありませんが、最低限の開発は必要です。
そのためSMS送信サービスから提供される仕様書やサンプルコードがわかりやすいかどうかや、導入のサポートが受けられるかもサービスを選ぶポイントになるでしょう。

より詳しい選ぶポイントはこちらで解説していますので、ぜひ参考にしてください。

関連記事：法人向けSMS送信サービスを選ぶ際の6つのポイント

SMS認証の活用事例

SMS認証は、数多くの企業で利用されています。ここでは、様々な活用事例を紹介します。

金融機関向けの本人確認サービスにSMSを利用

SBIグループで金融機関向けの認証認可基盤サービスなどを提供しているSBIデジトラスト株式会社様では、自社が手がける金融機関向けの認証認可基盤サービスで本人確認のためにSMSを利用しています。

アプリ利用開始時の本人認証にSMS認証を導入

テックユニオン株式会社様では、DXのためのアプリケーション開発やBPOなど、損害保険会社に向けたサービスを幅広く展開しています。同社が提供する、事故や災害が発生した際の損害調査用アプリ「Quickcam（クイックカム）」では、利用開始時の本人認証のためにSMS認証を導入しています。

アカウント作成時の認証コード送信にSMS認証を活用

キャッシュレス決済のゲートウェイ事業を中心に、企業のDXサポートなど幅広いサービスを提供している株式会社ネットスターズ。同社では神奈川県によるキャッシュレス・消費喚起事業である「かながわPay」アプリの利用者がアカウントを作成する際の認証コード送信のためにSMS認証を活用しています。

SMS認証でサービスの安全性を高めてトラブル回避！

IDやパスワードだけに頼ったセキュリティ対策だと、情報が漏れた場合、簡単に不正利用されてしまいます。SMS認証などと組み合わせた二段階以上のセキュリティ対策があれば、安全性は高まるでしょう。それに、SMS認証は運営者にとっても、ユーザーにとっても手間がかかりません。それゆえに支持率が高く、幅広い分野で導入されている方式です。

SMS送信サービス「空電プッシュ」を利用することで、SMS送信の仕組みを導入することが可能です。
空電プッシュは、送信処理能力も国内トップクラス、トラブル問合せ専用の窓口も24時間365日電話で受付けるなどSMS認証を運用するために必要な機能、スペック、サポート体制を提供しています。

SMS認証の導入をご検討の方は、SMS送信市場7年連続No.1の「空電プッシュ」にご相談ください。

SMS認証導入のご相談はこちらから