SMS認証とは？本人確認の重要性やメリット、導入方法について徹底解説

SMS認証とは？

SMS認証とはスマートフォン・携帯電話の電話番号宛てに送るショートメッセージを使い、本人確認を行う認証手段の一つです。

ユーザーがログインを試みると、ショートメッセージで数字の文字列などの認証コードが届きます。ログイン画面にて、届いたコードを入力し、一致すればログインが成功します。

SMSは、携帯キャリア側から審査を経た契約者本人のSIMが入った携帯のみにしか届かず、本人以外が持ち歩くケースも少ないことから、本人確認としての精度が高いため、本人認証の手段の1つとして使われています。

※以下の図はSMS認証のイメージ図です。

本人認証は他にもメール・生体認証・所有物認証など、さまざまありますがSMS認証はその中でもメジャーな手段として活用されています。

当記事では、SMS認証の仕組みやメリット・デメリット、SMS認証の導入方法から活用例など、徹底的に詳しく紹介します。

SMS認証が本人認証として重要視される理由は？

SMS認証が、本人認証の手段として重要視される理由は、「普及率・確実性」の２つがあげられます。

普及率の高さ

携帯電話の普及率は非常に高いため、多くの人が利用できます。本人認証ができない人が多い場合や、難易度が高いと、サービスの利用自体を辞めてしまう「機会損失」が発生しかねないため、普及率は非常に重要です。

確実性の高さ

本人認証としての精度や普及率はもちろんのこと、基本的はSMSが届くと携帯にプッシュ通知として表示されるため、ユーザー側が気づきやすいという確実性の高さがあります。実際に到達率は、当社実績で99.9％^※と非常に高い状態です。

※2022年3月1日～2022年5月31日の当社実績値、圏外・節電・受信・拒否等の事由を除く

SMS認証の方法と仕組み

SMS認証の仕組みは、ユーザー視点と企業視点の流れをもとに紹介します。

ユーザー側のSMS認証の流れ

ユーザーが携帯電話の番号を入力すると、即時（遅くとも数分以内程度）に認証コードが届きます。多くのサービスでは認証コードは、ログインするごとや、一定の時間経過すると変更されます。

企業側の認証の流れ

企業側はユーザー、自社システム、SMS認証サービスと主に3か所でのデータの受け渡しがあります。
複雑に見えますが、多くのSMS送信サービスではAPI連携ができます。連携しやすいサービスを選定すれば比較的簡単に導入できます。

SMS認証のメリット

SMS認証のメリットは、「SMSが重要視される理由」部分でもお伝えしましたが、さらに詳しく解説していきます。

ユーザー側の負担が少なく使いやすい

ユーザーは携帯電話を所持していればSMS認証ができます。昨今では、携帯電話＝スマートフォンで、ログインしてサービスを利用することも多いことから、使用している携帯電話をそのまま使って本人認証ができます。

また認証の流れも、プッシュ通知できた文字列を入力するだけと、非常にわかりやすくなっています。

SMSは到達率・開封率が高く、確実に届く

SMSは到達率が100%に近く、開封率は90％を超えるとも言われており、確実性が高いメリットがあります。
確実性が高いと言われる理由は主に３つあり、1つ目はMNP（ナンバーポータビリティ）という仕組みによりユーザーが携帯キャリアを変更しても電話番号が変わることが少ない点があげられます。メールアドレスや住所のように「変わってしまったら届かない」ということが比較的少ない傾向です。

２つ目は、基本的にSMSは通知設定を変更しないかぎり、デフォルトで受信するとプッシュ通知が出るためです。そのため、携帯電話の操作が得意ではない方でも、認証しやすいと考えられます。

３つ目には、「埋もれにくい」という理由があります。SMSは普段コミュニケーションツールとして使われることが少ないことや、SNSは通信キャリア側で不正やなりすましと思われる発信元を除外しているため、迷惑メッセージが比較的少なく、メッセージが埋もれてしまうというケースが少ない傾向にあります。

導入者側のコストも抑えられる

生体認証や所有物認証を導入するためには、知識も必要になるため導入コストがかかります。SMS認証の場合は、SMS認証が可能なサービス・システムを導入し、既存のシステムと連携させるのみであるため、比較的人的リソースの負担を抑えられます。

また、SMS認証を行うサービスの多くは、1通当たり〇円といった従量型料金体系であることも多く、費用面でもコストを抑えられる傾向にあります。

SMS認証のデメリット

ここでは、本人認証の手段としてSMS認証を選ぶデメリットを紹介します。

一部でSMS認証を行えないケースがある

MVNO（仮想移動体通信事業者）が提供する格安SIMのスマホを利用しているユーザーの場合、SMSが利用できず、SMS認証を行えないケースがあります。

格安SIMのユーザーはそもそも電話回線の契約をしておらず、通話やメッセージのやり取りをlineや、050などのIP電話で対応しているケースがあります。
こういった問題を解決するためには、通常のSMS認証の仕組みに加えて、SMSとIVR（Interactive Voice Response）といった自動音声再生の仕組みを組み合わせたり、SMSが受信できない方のためにSMSとメールの組み合わせを取ったりなど、複数の通知手段を組み合わせることがおすすめです。

多くの場合、SMS認証を行うために、SMS認証サービスを導入しますが、サービス選定には注意が必要です。※SMS認証サービス選びの注意点は後述します。

端末の紛失時に利用できない

ユーザーが端末を紛失してしまうと、認証コードを受け取れなくなるため、SMS認証が利用できなくなってしまいます。ID・パスワードのみのログインでパスワードを忘れた場合は、登録アドレスなどにパスワード変更通知を送って確認する方法がありますが、SMS認証ができなくなった場合のログインは難しいケースがあります。
企業側は端末紛失されたケースでもログインするための予防措置を検討したほうがよいでしょう。

そもそもなぜ本人認証が重要なのか

高いセキュリティレベルが求められるようになっているから

昨今、Webサービスの増加に伴い個人情報漏洩のリスクは高まってきています。企業側は安心してユーザーに利用してもらうために、また年々厳しくなる個人情報保護法に順守するためにも個人情報の取り扱いは厳重にしなければなりません。

特にログインを求めるようなサービスの場合、ログインした先には個人情報を含んでいる可能性も高いでしょう。以前に主流であったIDとパスワードのみのログインは、わかりやすいパスワードの場合や、パスワードが漏洩してしまった際に簡単にログインされてしまう可能性がありました。

そこで、より本人がログインだと判別できるよう、本人認証が重要です。
SMS認証も完全とはいえませんが、ログイン時に毎回違う認証コードを発行したり、2段階認証にすることでセキュリティを強化することができます。

アカウントの大量作成防止にも

以前、さまざまなツール・サービスで複数のアカウントを作成できてしまうことが多く、不正利用や使われなくなったアカウントが大量に発生するといった事象が発生していました。昨今では休眠アカウントを削除するサービスも増えてきています。
そのような不正・休眠アカウントを減らすため、1人1アカウントしか作れないようにするための本人認証が重要になっています。

特にSMS認証は送れる機器1台につき1アカウントまでの制限をかけることができるため、アカウントの大量作成を防止する効果にもつながります。

他の本人認証との違い

ここでは、SMS認証とその他の本人認証との違いについて紹介します。

SMS認証と生体認証との違いは？

生体認証とは、個体差で異なる指紋、顔、静脈、虹彩などの身体的特徴を使った認証手法で近年普及してきている方法です。
生体情報はなりすましが難しく、所有物認証のように認証機器を盗まれる心配もありません。加えて身体情報の模倣も容易ではありません。
パスワード情報や認証専用機器が不要という点も非常に便利です。

もちろんどの部位で認証を行うかにもよりますが、手軽にスピーディーな本人認証ができるということが大きなメリットがあります。

実際に最近ではライブ会場や空港での生体認証を採用するケースも増えてきており、大人数の認証の手間、認証にかかる時間を削減することができます。

生体認証にも課題

一方、生体認証は完璧ではなく、搭載されているセンサーによっては高精度な認証を行うことは難しく、手の乾燥時に指紋認証の精度が落ちてしまうなど身体の状態などによってはうまく認証ができなかったり、模倣によるなりすましを見抜けないなどのリスクがあります。

付着した指紋や顔をスキャンして生体情報を模倣されるケースも一定数あります。
最も恐ろしいことは、一度登録された生体情報を悪意のある第三者にコピー・模倣されてしまうと変更ができないということです。
そのため、ここでも二要素認証の概念が必要であり、知識認証や所有物認証を掛け合わせることで、身体情報が模倣されてしまった場合でも不正アクセスを防ぐことができます。

また、生体認証では認証用のデバイスの配布や認証機器の導入が必要になるなど、導入までのコストが大きくなるという懸念点があります。

SMS認証と所有物認証との違いは？

所有物認証にはICカードやキャッシュカードで認証をする他、トークンなどの認証専用の機器から発行されたワンタイムパスワードをフォームに入力して本人確認をする認証手法などがあります。

仮にワンタイムパスワードがばれてしまっても一定時間で使用できなくなるパスワードのため、悪意のある第三者にいざ盗み見られても安心です。

しかし、認証用の機器を紛失するというリスクや、そのデバイスが手元になければ認証が行えないというデメリットがあります。

どうしてもこういった特定の用途でしか使われないデバイスは紛失してしまったり、利用したいときに手元になかったりといった状況が一定数生じてしまいます。

メールでの2段階認証・本人認証との違いは？

2段階認証・本人認証にはメールでの確認方法もあります。手順はSMSと近しく、メールに認証コードを送付し、認証コードを入力画面に入力することで認証を行います。

SMSと同じくメールは、利用・所持しているユーザー数が多く、ユーザー側も比較的簡単に認証することができます。電話番号を取得しておらず、メールアドレスが分かっている場合に有効です。

大きな違いは、到達率維持の難易度です。SMSはここまで紹介した通り、SMS配信サービスを利用すれば一定の到達率を維持できます。一方でメールは、迷惑メールが多くあることから、確実に届けるために、メール配信システムを導入している場合でも、企業側で必要な対応が発生します。例えばDKIM・SPFなど、なりすまし・改ざんを防止するドメイン認証の対応です。
対応していないと迷惑メールフォルダに入ることや、そもそも届かないというケースもあります。

またユーザー側で、アドレスが変わってしまったり、メーラーにログインできないなど、さまざまな理由で認証できない場合もあります。そのため、SMS認証のほうが到達率が高く確実性が高いと言えるでしょう。

SMS認証の活用例とは？

活用例①　チケット会員サイト登録時のSMS認証

最近よく聞くのが、「チケットの高額転売」。
これは、1ユーザーが複数メールアドレスを使って会員IDを取得し、チケット購入時に複数のIDを使ってチケットを購入するといったことが問題になっているようです。

例えば、人気アーティストのコンサートチケットが販売されるとします。複数IDを持っているユーザーがそれぞれのIDでチケットを購入し、そのチケットを高額で転売するのです。

このような高額チケットの転売を防ぐ為、チケット会員登録時に1ユーザーが複数回会員登録をできないよう、会員登録の時点で「携帯電話番号」を入力し「認証コード」を発行して、SMSで届いた認証コードを入力して登録、と言った流れを作ることにより、チケット大量購入→高額転売を防ぐことができます。

活用例②　金融機関・証券会社での振込時のSMS認証

金融機関・証券会社にて、一定金額以上の振込を行う際に、SMS本人認証が利用されているようです。

利用方法としては、振込確定をする前にSMSにて本人認証の為の使い捨てパスワード「ワンタイムパスワード」を送り、そのコードを画面上で入力して振込といった際に利用できます。

※これはあくまでも利用内容の1例になります。サービス・システムによってはSMS本人認証時のタイミング等は異なると思います。

活用例③　カード会社のポイント交換

普段使っているカードにてポイントが貯まっていて、そのポイントを景品や別のカードのポイントに移行する際にSMS本人認証が利用されています。

これも上記2つのパターンにて紹介したようにSMS本人認証を使って「認証コード」を発行します。

こちらも②と同様、SMS本人認証のタイミングはサービス・システムによって異なると思います。

SMS認証の導入方法とは？

SMS認証の導入方法を3つの段階に分けて紹介します。

API連携が可能なSMS認証サービスを選定する

SMSを認証用途で利用するためには、API連携が可能なSMS配信サービスを選定する必要があります。 また、国内のユーザーに対して認証を行う場合は、国内直収のサービスであることは最低条件となります。

さらに、SMS認証では自社で使用しているシステムとのスムーズな連携が必要となるため、APIの連携が可能かつ開発が簡単なサービスを選ぶとよいでしょう。

SMS送信サービスは数多くありますが、認証に適しているサービスかどうかを事前に確認しておきましょう。

既存システムとSMS認証サービスをAPIで連携させる

次に、既存システムとSMS認証サービスでAPI連携を行います。自社の既存システムからAPIを通してSMS認証サービスに指示を出すための開発、機能実装が必要となります。

API連携実装の手順は、登録したSMS認証サービスでAPIキーとシークレットキーを取得して、自社システムの仕様に合わせて実装します。

開発に関する知識がない場合でもサービスを提供しているベンダーに相談が可能です。少しでも不安点がある際には気軽に相談してみるとよいでしょう。

運用テスト後に実運用開始

自社システムと連携してSMSの通知が送れているかや認証コードの有効期限が正しく設定されているか、認証の通知文面がわかりやすい文面になっているかなど本番稼働の前にテストで確認するとスムーズに実運用に移れるでしょう。

SMS認証に適したサービスの選び方

SMS認証サービスの導入で失敗しないためのポイントを紹介します。

Point①　"国内直収"のサービスで確実なSMS認証を行う

SMS認証を行う際に、一部ユーザーに対しては「SMSが届かない」というリスクがあります。
SMSを送る際には国内回線網と国際回線網という２種類の送信ルートがあります。

参考記事：SMSが届かない・送れない原因と対策を徹底解説

Point②　SMS認証に必要なシステム連携（API）が容易か？

SMS認証を行う場合、自社システムとSMS認証サービスをシステム連携(API)させる必要があります。

SMS認証のような、SMSをシステムから自動送信をする仕組みは連携する際の繋ぎ込みに工数がかかるため、自社の開発部門に負担がすくないものを選べるとベストです。

開発が容易なAPI（RESTfulなど）に対応しているサービスが接続もスマートでおすすめです。

Point③　導入実績でサービスのセキュリティレベルを測る

SMS認証はアカウントセキュリティ強化の一環として行うわけなので、SMS認証を行うための送信サービスのシステムセキュリティをチェックしておくことが重要です。

セキュリティを見る際の最も簡単な指標が"導入実績"です。なぜなら上場企業をはじめとする中堅・大手企業などの導入事例がある場合、ある程度のセキュリティレベルに対応できるSMS送信サービスだという貴重な判断材料のひとつになるからです。

特に公官庁の導入が多い場合には、セキュリティが高い可能性があります。

Point④　セキュリティ施策の内容

IPSやファイアウォール、SMS送信サービスのコンピューターのOS、ソフトウェア、プログラムの"脆弱性対策"などにも注意を払えるとよいです。

実績をみることである程度の信頼感をもつことができますが、念のため具体的に行っている施策の部分まで確認しておけると安心です。

Point⑤　稼働率やスピードなどの性能の状況

SMS認証は、ユーザーがサービスを利用しようとしているタイミングが多いため 即時に必ず届けなければなりません。購入しようと思っているユーザーに対してのSMS認証で届かないことが発生したら、別のECサイト等に流れてしまうかもしれません。 稼働率の実績はどの程度か、配信スピードの実績はどの程度あるのかなど、よく確認しましょう。

SMS認証導入の際の注意点

日本において犯罪とされているSMS認証代行に利用される危険性があるという点です。SMS認証を悪用することで不正なアカウントアクセスやスパムSMSの送信、フィッシング詐欺に利用されることがあります。

これらの行為は法的に問題とされ、詐欺行為や不正アクセスとして刑事罰の対象となる可能性があります。したがって、SMS認証代行を悪用することは違法行為であり、注意が必要です。セキュリティ意識を高め、不正行為から身を守るために、信頼性のあるサービスとアカウントセキュリティの基本原則を守るようにしましょう。

SMS認証の実際の導入例

会員アプリで本人確認プロセスを6分の１に効率化

全国規模で展開する調剤薬局の運営などを行っている株式会社アインホールディングス様のグループが運営されているコスメ＆ドラッグストアチェーン「アインズ＆トルペ」では顧客向けポイントプログラムのスマートフォンアプリ化に際し、「Cuenote SMS」を活用してSMS認証を導入し本人確認プロセスを効率化されました。

スマートフォンアプリで「メールアドレス」を用いた本人認証では、入力する作業にかなりの時間がかかることが問題になっていました。メールアドレスではアルファベット・記号・数字などが混在し文字数も多く、入力ミスによるエラーも発生していましたが、SMS認証を行うことで簡単な数字入力のみで済むように。本人確認プロセスにおいてメールアドレス入力を用いた場合は「3分程度」であったのに対し、SMS認証では「30秒」ほどに低下したそうです。

結果、店舗スタッフのオペレーションはシンプルになり、お客様は会計中にスマホアプリを使い始められるようになりました。

株式会社アインホールディングス様の導入事例記事はコチラ＞＞

おすすめのSMS認証サービス「Cuenote SMS」とは

『Cuenote SMS』はSMS（ショートメッセージ）・IVR（音声自動応答）を利用したセキュアな認証を、API連携で簡単に実装できるサービスです。

国内キャリア直収の高品質なSMS送信により、サービス登録・ログイン等の際の二要素認証をサポートします。

「確認コードの生成」、「SMS・IVRによる確認コードの通知」、「認証画面の表示および認証処理」、「認証結果の取得」など、一連のプロセスを実行させることができます。

料金は初期費用0円の認証数に応じた料金制となるため、詳しくはお問い合わせください。

まとめ

今回はSMS認証の目的とメリット、活用例、サービス選定のポイントについて解説しました。

昨今アプリの利用、チケット会員のサイト登録、金融機関・証券会社の振込などスマートフォンで行うキャッシュレス決済をはじめ、WEB手続きなどが急速に普及しています。
同時に、WEBサービスを提供する企業はアカウントセキュリティの強化という点に理解を深めていかなければいけません。

アカウントセキュリティ強化のポイントは認証手順の複雑化です。この具体的な有効施策が二段階認証の採用です。

二段階認証には様々な手法がありますが、おすすめの認証手段となるのがセキュアで且つ手軽さのあるSMS認証による本人確認です。

SMS認証に必要なSMS送信サービスですが、国内回線(正規ルート)を通してSMSを送信できる、国内携帯キャリアと"直収"のサービスを選びましょう。

送信サービスのシステムセキュリティも重要で、最も簡単な指標はセキュリティ基準が厳しい上場企業などの導入実績があるかという点です。

今後変化していく社会に対応するため、WEBサービスに携わる担当者の方は是非アカウントセキュリティの理解を深めて頂ければ幸いです。
アカウントセキュリティ対策の一環として、SMS認証の採用など今後の施策の一手段として検討してみて頂けるとよいかと思います。