SMS認証とは?本人確認の重要性やメリット、導入方法について徹底解説
関連製品:

SMS認証とは?
SMS認証とはスマートフォン・携帯電話の電話番号宛てに送るショートメッセージを使い、本人確認を行う認証手段の一つです。
生体認証など本人認証の仕組みは様々ありますが、SMS認証は数ある認証手段の中でも手軽でメジャーな本人確認手段といえます。
認証コードを送る場合にSMSではなくメールアドレス宛に送るケースもありますが、SMSのほうが開封率が高く、他人の携帯電話と被ってしまうことがないため、「認証コード」を送る手段としては最適な手段です。
加えて、ユーザーが誤った携帯の電話番号を登録してしまったり、悪意を持ったユーザーがランダムな電話番号で登録したとしても、入力した電話番号にしか本人認証用の「認証コード」が届かないので、知らない間にアプリをダウンロードしていた、ゲームの課金がされていた・・・なんてことも防ぐことができます。
当記事では、仕組みやメリット・デメリットなど、さらに詳しく紹介していきます。
成果が見えるSMS配信を

Cuenote SMSは1通8円からの業界最安水準の価格で、携帯電話の番号宛にメッセージを送信するSMS送信サービスです。専用ソフトは不要でPCや既存システムから簡単にSMSを送ることができ、ほぼ確実に読まれます!
SMS認証の重要性が増す理由とは
SMS認証の重要性が増す理由の1つとして「企業側がセキュリティ対策をしている証明になるため」があげられます。昨今、Webサービスの増加に伴い個人情報漏洩のリスクは高まってきています。企業側は安心してユーザーに利用してもらうために、 また年々厳しくなる個人情報保護法に順守するためにも個人情報の取り扱いは厳重にしなければなりません。
特にログインを求めるようなサービスの場合、ログインした先には個人情報を含んでいる可能性も高いでしょう。 以前に主流であったIDとパスワードのみのログインは、わかりやすいパスワードであることや、漏洩してしまった際に簡単にログインされてしまう可能性がありました。
SMS認証も完全とはいえませんが、毎回違う認証コードを発行したり、2段階認証にすることでセキュリティを強化することができ、企業側がセキュリティ対策している1つの証明になります。
SMS認証の方法と仕組み
SMS認証の仕組みは、ユーザー視点と企業視点の流れをもとに紹介します。
ユーザー側のSMS認証の流れ
- Webサービスのログイン画面にてIDを入力※2段階認証の場合はパスワードも入力
- 携帯電話の番号を入力
- SMSより認証コードを受信
- 認証コードを入力画面に入力
- 認証完了
SMS認証ではセキュリティレベルを上げるため毎回コードが変わることがほとんどですが、覚える必要がありません。携帯電話を持っていれば画面の指示に従うだけで認証ができ、比較的手軽にできます。
- ユーザーが、ログイン画面でSMS認証(電話番号入力)を要求したらAPI連携により自社システムからSMS送信サービスにデータ送信
- SMS送信サービスより、ユーザーに認証コードを送信
- ユーザーが認証コードを入力すると、API連携にて送信サービスから自社システムに送信
- 送信した認証コードと受信したコードが一致したら認証完了
企業側ではSMS送信サービスを使用してSMS認証を行うことが一般的です。
ユーザー側と異なり、企業側はユーザー、自社システム、SMS送信システムと主に3か所でのデータの受渡があります。
複雑に見えますが、連携しやすいSMS送信システムを選ぶなどをすれば比較的簡単に導入することができます。
SMS認証のメリット
ユーザー側の負担が少なく使いやすい
ユーザーは特別なアプリなどのインストールや、何かを覚えるという必要がなく、携帯電話を所持していればSMS認証ができます。 認証の流れも非常にわかりやすく、受信した番号を指定の箇所に入力するのみで、ユーザー側の負担は少ないと言えます。
他の認証として、所有物認証や生体認証などがありますが、2つに比べても手軽に利用することができます。
- 二要素認証①:生体認証
- 指紋や顔などの本人の身体的特徴で認証する手法
- 二要素認証②:所有物認証
- キャッシュカードやICカード、ワンタイムパスワード発行用のトークンなど、認証専用の機器を使って認証する手法
生体認証は徐々に増えているものの精度の高さに課題があります。例えば指紋認証ではセンサーが汚れていたり、指が濡れている状態・乾燥している状態でうまく利用することができない場合があります。
所有物認証においては携帯などの認証専用機器に加え、キャッシュカードなど必要なものが増える手間があります。このような中でSMS認証は引き続き重要な認証方法の1つと言えます。
SMSは到達率・開封率が高く、確実性が高い
SMSは到達率が100%に近いと言われています。理由の1つに、MNP(ナンバーポータビリティ)という仕組みによりユーザーが携帯キャリアを変更しても電話番号が変わることが少ない点があげられます。メールアドレスや住所のように変わってしまったから届かないということが比較的少ない傾向です。
またSMSの開封率は「90%以上」あります。一般的にメールの開封率は「20~30%」と言われており、非常に高いことがわかります。
開封率が高い理由は、迷惑メッセージがすくないことや、プッシュ通知により気づかれやすいと考えられます。 SNSは通信キャリア側で、不正やなりすましと思われる発信元を除外しているため、迷惑メッセージが比較的少ない傾向にあります。また受信するとプッシュ通知と呼ばれる開封を促すためのポップアップが携帯電話の待ち受けなどに表示されるため、見逃す可能性も低くなります。
さらに、メールのようにメルマガやメッセージのやり取りとして使われることも少ないため、情報が埋もれづらいという点もあります。これらは企業側からみても安心ですが、ユーザー側からみた場合でも認証の確実性が高いため、利便性が高いといえます。
本人認証としての精度が高い
携帯電話は携帯キャリア側から審査を経て付与されているため、強固な本人確認手段と言えます。また携帯電話を他人に使用されるケースも少ないという点も本人認証としての精度の高さと言えます。
SMS認証のデメリット
一部でSMS認証を行えないケースがある
MVNO(仮想移動体通信事業者)が提供する格安SIMのスマホなどを利用しているユーザーの場合、SMSが利用できず、SMS認証を行えないケースがあります。
格安SIMのユーザーはそもそも電話回線の契約をしておらず、通話やメッセージのやり取りをlineや、050などのIP電話で対応しているケースがあります。
こういった問題を解決するためには、通常のSMS認証の仕組みに加えて、SMSとIVR(Interactive Voice Response)といった自動音声再生の仕組みを組み合わせたり、SMSが受信できない方のためにSMSとメールの組み合わせを取ったりなど、複数の通知手段を組み合わせることがおすすめです。
多くの場合、SMS認証を行うために、SMS送信サービスを導入しますが、サービス選定には注意が必要です。※SMS送信サービス・システム選びの注意点は後述します。
端末の紛失時に利用できない
ユーザーが端末を紛失してしまうと、認証コードを受け取れなくなるため、SMS認証が利用できなくなってしまいます。ID・パスワードのみのログインでパスワードを忘れた場合は、登録アドレスなどにパスワード変更通知を送って確認する方法がありますが、SMS認証ができなくなった場合のログインは難しいケースがあります。
企業側は端末紛失されたケースでもログインするための予防措置を検討したほうがよいでしょう。
その他の本人認証との違い
SMS認証と生体認証との違いは?
生体認証とは、個体差で異なる指紋、顔、静脈、虹彩などの身体的特徴を使った認証手法で近年普及してきている方法です。
生体情報はなりすましが難しく、所有物認証のように認証機器を盗まれる心配もありません。加えて身体情報の模倣も容易ではありません。
パスワード情報や認証専用機器が不要という点も非常に便利です。
もちろんどの部位で認証を行うかにもよりますが、手軽にスピーディーな本人認証ができるということが大きなメリットがあります。
実際に最近ではライブ会場や空港での生体認証を採用するケースも増えてきており、大人数の認証の手間、認証にかかる時間を削減することができます。
ただし、生体認証は完璧ではなく、搭載されているセンサーによっては高精度な認証を行うことは難しく、身体の状態などによってはうまく認証ができなかったり、模倣によるなりすましを見抜けないなどのリスクがあります。
また、付着した指紋や顔をスキャンして生体情報を模倣されるケースも一定数あります。
最も恐ろしいことは、一度登録された生体情報を悪意のある第三者にコピー・模倣されてしまうと変更ができないということです。
そのため、ここでも二要素認証の概念が必要であり、知識認証や所有物認証を掛け合わせることで、身体情報が模倣されてしまった場合でも不正アクセスを防ぐことができます。
また、生体認証では認証用のデバイスの配布や認証機器の導入が必要になるなど、導入までのコストが大きくなるという懸念点があります。
SMS認証と所有物認証との違いは?
所有物認証にはICカードやキャッシュカードで認証をする他、トークンなどの認証専用の機器から発行されたワンタイムパスワードをフォームに入力して本人確認をする認証手法などがあります。
仮にワンタイムパスワードがばれてしまっても一定時間で使用できなくなるパスワードのため、悪意のある第三者にいざ盗み見られても安心です。
しかし、認証用の機器を紛失するというリスクや、そのデバイスが手元になければ認証が行えないというデメリットがあります。
どうしてもこういった特定の用途でしか使われないデバイスは紛失してしまったり、利用したいときに手元になかったりといった状況が一定数生じてしまいます。
SMS認証の活用例とは?
活用例① チケット会員サイト登録時のSMS認証
最近よく聞くのが、「チケットの高額転売」。
これは、1ユーザーが複数メールアドレスを使って会員IDを取得し、チケット購入時に複数のIDを使ってチケットを購入するといったことが問題になっているようです。
例えば、人気アーティストのコンサートチケットが販売されるとします。複数IDを持っているユーザーがそれぞれのIDでチケットを購入し、そのチケットを高額で転売するのです。
このような高額チケットの転売を防ぐ為、チケット会員登録時に1ユーザーが複数回会員登録をできないよう、会員登録の時点で「携帯電話番号」を入力し「認証コード」を発行して、SMSで届いた認証コードを入力して登録、と言った流れを作ることにより、チケット大量購入→高額転売を防ぐことができます。
活用例② 金融機関・証券会社での振込時のSMS認証
金融機関・証券会社にて、一定金額以上の振込を行う際に、SMS本人認証が利用されているようです。
利用方法としては、振込確定をする前にSMSにて本人認証の為の使い捨てパスワード「ワンタイムパスワード」を送り、そのコードを画面上で入力して振込といった際に利用できます。
※これはあくまでも利用内容の1例になります。サービス・システムによってはSMS本人認証時のタイミング等は異なると思います。
活用例③ カード会社のポイント交換
普段使っているカードにてポイントが貯まっていて、そのポイントを景品や別のカードのポイントに移行する際にSMS本人認証が利用されています。
これも上記2つのパターンにて紹介したようにSMS本人認証を使って「認証コード」を発行します。
こちらも②と同様、SMS本人認証のタイミングはサービス・システムによって異なると思います。
SMS認証を導入するには?
SMS認証を導入するためには、2つ段階を踏む必要があります。
- 1.SMS送信サービスを導入する
- 2.既存システムとSMS送信サービスを連携する
SMS送信サービスにおいては、弊社サービスであるCuenote SMSを始めとしたサービスがあるため、導入されることをオススメします。 既存システムとSMS送信サービスではAPI連携を行います。API連携の手順は、基本的に登録したSMS配信サービスでAPIキーとシークレットキーを取得して、自社システムの仕様に合わせて実装します。
SMS認証サービスの選び方
SMS認証サービスの導入で失敗しないためのポイントを紹介します。
Point① "国内直収"のサービスで確実なSMS認証を行う
SMS認証を行う際に、一部ユーザーに対しては「SMSが届かない」というリスクがあります。
SMSを送る際には国内回線網と国際回線網という2種類の送信ルートがあります。
【国内回線】
国内の携帯キャリアに確実に届く正規ルートで送信すれば確実にSMSを届けることができます。
企業から国内キャリアユーザーにSMSを届ける際は国内回線を介してSMSを送信する国内直収(国内携帯キャリアと直接接続した)サービスを選ぶようにしましょう。
【国際回線】
海外の回線を介してSMSを送信するため、国内携帯キャリアを利用するユーザーにとってはスパムメッセージとして一定数ブロックされてしまいます。
海外では日本と比較してSMSの流通量が圧倒的に多く、広告宣伝をはじめとするスパムメッセージも数多く流れています。
国内携帯キャリアではこのようなスパムメッセージを防ぐために国際回線を介したSMSを一定数ブロックするフィルタリング機能を備えています。これは一部の要因ですが、SMSが届かない主な原因の一つになります。
Point② SMS認証に必要なシステム連携(API)が容易か?
SMS認証を行う場合、自社システムとSMS認証サービスをシステム連携(API)させる必要があります。
SMS認証のような、SMSをシステムから自動送信をする仕組みは連携する際の繋ぎ込みに工数がかかるため、自社の開発部門に負担がすくないものを選べるとベストです。
開発が容易なAPI(RESTfulなど)に対応しているサービスが接続もスマートでおすすめです。
Point③ 導入実績でサービスのセキュリティレベルを測る
SMS認証はアカウントセキュリティ強化の一環として行うわけなので、SMS認証を行うための送信サービスのシステムセキュリティをチェックしておくことが重要です。
セキュリティを見る際の最も簡単な指標が"導入実績"です。なぜなら上場企業をはじめとする中堅・大手企業などの導入事例がある場合、ある程度のセキュリティレベルに対応できるSMS送信サービスだという貴重な判断材料のひとつになるからです。
Point④ セキュリティ施策の内容
IPSやファイアウォール、SMS送信サービスのコンピューターのOS、ソフトウェア、プログラムの"脆弱性対策"などにも注意を払えるとよいです。
実績をみることである程度の信頼感をもつことができますが、念のため具体的に行っている施策の部分まで確認しておけると安心です。
Point⑤ 配信スピードや稼働率などの機能性は?
SMS認証は、お客様がログインしたい=何かのサービスを求めているときに必要のため、確実で即時的に送る必要があります。SMS認証で導入している事例はあるか、配信スピードやシステム稼働率などの実績に問題はないか確認しましょう。
SMS認証導入の際の注意点
SMS認証代行の利用
日本において犯罪とされているSMS認証代行に利用される危険性があるという点です。SMS認証を悪用することで不正なアカウントアクセスやスパムSMSの送信、フィッシング詐欺に利用されることがあります。
これらの行為は法的に問題とされ、詐欺行為や不正アクセスとして刑事罰の対象となる可能性があります。したがって、SMS認証代行を悪用することは違法行為であり、注意が必要です。セキュリティ意識を高め、不正行為から身を守るために、信頼性のあるサービスとアカウントセキュリティの基本原則を守るようにしましょう。
おすすめのSMS認証サービス「Cuenote SMS」とは
『Cuenote SMS』はSMS(ショートメッセージ)・IVR(音声自動応答)を利用したセキュアな認証を、API連携で簡単に実装できるサービスです。
国内キャリア直収の高品質なSMS送信により、サービス登録・ログイン等の際の二要素認証をサポートします。
「確認コードの生成」、「SMS・IVRによる確認コードの通知」、「認証画面の表示および認証処理」、「認証結果の取得」など、一連のプロセスを実行させることができます。
料金は初期費用0円の認証数に応じた料金制となるため、詳しくはお問い合わせください。
まとめ
今回はSMS認証の目的とメリット、活用例、サービス選定のポイントについて解説しました。
昨今アプリの利用、チケット会員のサイト登録、金融機関・証券会社の振込などスマートフォンで行うキャッシュレス決済をはじめ、WEB手続きなどが急速に普及しています。
同時に、WEBサービスを提供する企業はアカウントセキュリティの強化という点に理解を深めていかなければいけません。
アカウントセキュリティ強化のポイントは認証手順の複雑化です。この具体的な有効施策が二段階認証の採用です。
二段階認証には様々な手法がありますが、おすすめの認証手段となるのがセキュアで且つ手軽さのあるSMS認証による本人確認です。
SMS認証に必要なSMS送信サービスですが、国内回線(正規ルート)を通してSMSを送信できる、国内携帯キャリアと"直収"のサービスを選びましょう。
送信サービスのシステムセキュリティも重要で、最も簡単な指標はセキュリティ基準が厳しい上場企業などの導入実績があるかという点です。
今後変化していく社会に対応するため、WEBサービスに携わる担当者の方は是非アカウントセキュリティの理解を深めて頂ければ幸いです。
アカウントセキュリティ対策の一環として、SMS認証の採用など今後の施策の一手段として検討してみて頂けるとよいかと思います。
キューノート エスエムエス
SMS(ショートメッセージサービス)送信サービス、Cuenote SMS(キューノート SMS)は、携帯・スマートフォンを持っているユーザー全てに携帯電話網を利用したSMS送信が高速・確実に行える法人向けのSMS送信サービスです。開封率は90%以上という圧倒的な開封率の高さと、電話番号宛にメッセージを送れる利便性の高さが強みです。国内最高水準のメッセージングソリューションを手掛けるユミルリンクが培った配信技術と高次のセキュリティで、本人確認(SMS認証)や決済通知、督促連絡、業務連絡、プロモーション用途等、様々な用途でのSMS活用をサポートいたします。