SMS認証とは?本人確認の重要性やメリット、導入方法について徹底解説
関連製品:
スマートフォン・携帯電話の電話番号だけで本人認証を行う、"SMS認証"について徹底解説します。
まず大前提として、アカウントセキュリティの強化をするにはユーザーの認証手順を"厳格・複雑化"する必要があります。
具体的な手段として、認証の回数を増やす二段階認証があります。ここで課題になるのは、認証手段を複雑化することでユーザービリティを下げる要因にもなりかねないということです。
この、"ユーザービリティとセキュリティのバランス"を考慮することが大きなポイントです。
二段階認証でよく使われているのがSMS認証です。
本人認証の仕組みは様々ですが、SMS認証は数ある認証手段の中でも手軽でメジャーな本人確認手段といえます。
ただ、SMS認証を行う際には注意点がいくつかあります。今回はSMSで認証コードを送信するサービス・システムの導入で失敗しないためのポイントなども押さえて紹介していきます。
※SMS認証を行うために"SMS送信サービスの選び方"を知りたい方はこちらをご覧ください。
SMS認証とは?~基本~
SMS認証とはスマートフォン・携帯電話の電話番号を使って本人確認を行う認証手段の一つです。
現在、スマートフォンアプリをダウンロードした際に、SMS(ショートメッセージサービス)を使って「認証コード」を送り、本人認証を導入する企業が増えています。
なぜ、SMS本人認証を利用するかと言うと、携帯電話番号は同一の番号が存在しなく、他人の携帯電話番号と被ってしまうことがないため、「認証コード」を送る手段としては最適な手段なのです。
また、番号が被ることがないため、ユーザーを識別するための【キー】にもなります。
加えて、ユーザーにて間違って携帯電話番号を登録してしまったり、悪意を持ったユーザーがランダムな番号で登録したとしても、入力した携電話番号にしか本人認証用の「認証コード」が届かないので、知らない間にアプリをダウンロードしていた、ゲームの課金がされていた・・・なんてことも防ぐことができます。
二段階認証の重要性と目的
■SMS認証でより強固なアカウントセキュリティを構築
昨今、キャッシュレス化、web手続きが急速に広まっています。
スマートフォンによる各種決済(ペイメント)サービスや、Web手続きは確かに便利ですが、同時にログイン時のアカウントセキュリティ対策についても議論が絶えません。
アプリダウンロード時、チケット会員サイト登録時、金融機関・証券会社の振込時など、様々なシーンで必要となるアカウント情報。
アカウント情報は個人の金融情報とも結びつくケースが多く、流出してしまえば個人に与える損失は計り知れません。
このことから、WEBサービスを利用する会員・ユーザーのアカウント情報を守ることがいかに重要かということがわかります。
■アカウントが不正利用されるのはユーザー側の要因もあり
昨今、ユーザー一人あたりがアカウントを持つWEBサービスの数はユーザー自身が全て把握しきれていないほど多岐に渡るケースが少なくありません。
ここでの問題は、ユーザーが同じアカウント情報(ID・パスワード)を複数サービスで使い回していることです。
このようなケースでは、特定のサービスのアカウントが漏洩してしまった場合、そのユーザーが他に使っているサービスにも不正アクセスされる可能性が十分にあります。
しかも、ありがちなパスワードを設定しているケースでは不正アクセスされるリスクは更に高まります。
他社サービスのアカウント情報が漏れるリスクがあるということは、間接的に自社サービスのユーザーアカウントにも不正アクセスされるリスクがあるわけです。
このようなリスクを避けるためにも2段階目の認証を取り入れることが重要です。
何より、損害賠償の発生防止や企業の社会的信頼が損なわれないように対策をすることが重要です。
■二段階認証とSMS認証について
アカウントセキュリティの保護という点で重要になってくるのが"二段階認証"です。
二段階認証とは、まず一段階目に通常のID・パスワードの入力で本人認証を行った後、さらにもう一度別の形式で2回目の認証をかけることを言います。
Google、Amazon、Facebookなどが提供する大手インターネットサービスでは二段階認証の設定が可能ですが、これら大企業に留まらず現在ではSMS認証などの二段階認証の仕組みを採用する企業が増えてきています。
キャッシュレス化、WEB手続きの普及が今後更に普及することを見越して、今のうちにアカウントセキュリティ保護に対する理解を深めていかなければいけません。
■SMS認証を使わない"二要素認証"について
下記の通り、SMS認証を使わず、所有物認証や生体認証をつかった2段階認証もあります。
1段階目と2段階目の認証手段の性質が異なる認証方法を"二要素認証"といいます。
認証手段には主に、知識認証、生体認証、所有物認証の3種類があります。
1段階目の認証でよく使われるのが"知識認証"です。知識認証とは、本人だけが知っているパスワードなどの知識情報を使った本人認証です。
二要素認証①:生体認証
指紋や顔などの本人の身体的特徴で認証をかける本人認証を生体認証と呼びます。
二要素認証②:所有物認証
キャッシュカードやICカード、ワンタイムパスワード発行用のトークンなど、認証専用の機器を使って認証する手法を所有物認証といいます。
その他にも画像に表示された文字を入力させて認証する手法や、簡単な質問・秘密の質問などに回答させて認証するタイプの手法も増えています。
■2段階認証は普及していない?手軽にできるSMS認証がおすすめ
二段階認証は強固なアカウントセキュリティという観点からみると必須なのですが、残念ながらまだあまり普及していないのが現実です。
世界的にみれば飛躍的にキャッシュレス化が進んでおり、日本政府も2027年までには「キャッシュレス決済比率を4割程度」を目指しています。
参考:
経済産業省【キャッシュレス・ビジョン】
キャッシュレス決済とは、クレジットカードやデビットカードに限らず、SuicaやPASMOなどのICカード・電子マネーも含まれます。
PayPayやメルペイ、LINE Payといった、スマホアプリのキャッシュレス決済サービスも大規模なキャンペーンを打ち出してきたことから今後更なる普及拡大が期待されています。
そんな中で何故、2段階認証は普及しないのか?
それはサービスを利用する"ユーザーにとって"面倒くさい"からです。
たかが、二回認証するだけなのに...といってもその少しの煩わしさがサービス利用者のストレスになり、サービスの離脱にも繋がるわけです。
つまり、2段階認証を採用する際には、いかにユーザーにとって"手軽"に認証をしてもらえるか?という点が実は大きなポイントなのです。
ここでおすすめの認証手法が"SMS認証"です。
SMS認証のメリット・デメリット
冒頭でも伝えたようにSMS認証の大きなメリットは"手軽"で、且つユーザーにとても"馴染みが深い"ということです。
生体認証やトークンなどを使った所有物認証など、他の認証手法もある中、"手軽さ"という点でなぜSMS認証がおすすめなのか?いくつかの手法を比較して解説します。
生体認証のメリット・デメリット
まず、比較的新しい生体認証は、個体差で異なる指紋、顔、静脈、虹彩などの身体的特徴を使った認証手法です。
知識認証とは異なり、生体情報はなりすましが難しく、所有物認証のように認証機器を盗まれる心配もありません。加えて身体情報の模倣も容易ではありません。
パスワード情報や認証専用機器が不要という点も非常に便利です。
もちろんどの部位で認証を行うかにもよりますが、手軽にスピーディーな本人認証ができるということが大きなメリットがあります。
実際に最近ではライブ会場や空港での生体認証を採用するケースも増えてきており、大人数の認証の手間、認証にかかる時間を削減することができます。
ただし、生体認証は完璧ではなく、搭載されているセンサーによっては高精度な認証を行うことは難しく、身体の状態などによってはうまく認証ができなかったり、模倣によるなりすましを見抜けないなどのリスクがあります。
また、付着した指紋や顔をスキャンして生体情報を模倣されるケースも一定数あります。
最も恐ろしいことは一度登録された生体情報を悪意のある第三者にコピー・模倣されてしまうと変更ができないということです。
そのため、ここでも二要素認証の概念が必要であり、知識認証や所有物認証を掛け合わせることで、身体情報が模倣されてしまった場合でも不正アクセスを防ぐことができます。
また、生体認証では認証用のデバイスの配布や認証機器の導入が必要になるなど、導入までのコストが大きくなるという懸念点があります。
所有物認証のメリット・デメリット
所有物認証にはICカードやキャッシュカードで認証をする他、トークンなどの認証専用の機器から発行されたワンタイムパスワードをフォームに入力して本人確認をする認証手法などがあります。
仮にワンタイムパスワードがばれてしまっても一定時間で使用できなくなるパスワードのため、悪意のある第三者にいざ盗み見られても安心です。
しかし、認証用の機器を紛失するというリスクや、そのデバイスが手元になければ認証が行えないというデメリットがあります。
どうしてもこういった特定の用途でしか使われないデバイスは紛失してしまったり、利用したいときに手元になかったりといった状況が一定数生じてしまいます。
SMS認証のメリット
SMS認証はスマートフォンが認証機器となるため、ユーザーは手持ちのスマートフォン・携帯電話でどこでも簡単に本人認証が行えます。
また、SMS(ショートメッセージ)と本人認証は非常に相性がいいといわれています。
主な理由として...
①スマホや携帯電話は基本的に本人以外が所持するシーンがほとんどない
②スマホ・携帯の電話番号は、携帯キャリア側からの審査を経て付与されているため強固な本人確認手段と成り得る
③スマホや携帯電話は常備していることが多く、紛失というリスクは少ない
④常備していることから、必要なときに手元に認証機器がないというリスクも生じづらい
⑤SMS認証は電話番号という数値情報の入力のみで本人認証ができ、入力も簡単
⑥受信拒否やブロックされにくく、到達率・着眼率が高い
※現在ではMNP(ナンバーポータビリティ)という仕組みにより、携帯キャリアを変更しても電話番号は変更しなくてもよくなったため、宛先の変更自体が少なくなりました。
結果、番号が変わって認証番号が送れないというリスクがだいぶ解消されています。
これらのことから、二段階認証を行ううえでSMS認証はセキュアでありつつとても"手軽"にでき、今も昔もメジャーな認証手法として多くのシーンで活用されています。
SMS認証のデメリット
MVNO(仮想移動体通信事業者)が提供する格安SIMのスマホなどを利用しているユーザーの場合、SMSが利用できず、SMS認証を行えないケースがあります。
格安SIMのユーザーはそもそも電話回線の契約をしておらず、通話やメッセージのやり取りをlineや050などのIP電話で対応しているケースがあります。
こういった問題を解決するためには、通常のSMS認証の仕組みに加えて、SMSとIVR(Interactive Voice Response)といった自動音声再生の仕組みを組み合わせたり、SMSが受信できない方のためにSMSとメールの組み合わせを取ったりなど、複数の通知手段を組み合わせることが、おすすめです。
多くの場合、SMS認証を行うために、SMS送信サービスを導入しますが、サービス選定には注意が必要です。※SMS送信サービス・システム選びの注意点は後述します。
SMS認証の方法と仕組み
アプリのダウンロード時を例に出すと、下図のように登録された会員・ユーザーの電話番号に対して、システム側で使い捨てのワンタイムパスワード(多くは4~6ケタの数字)を発行・送信します。
ユーザーは自身のスマホ・携帯電話にSMSで届いたワンタイムパスワードをウェブサービスのフォーム上に入力して本人認証を行います。
iphoneでは、最近になって、SMSで届いたワンタイムパスワード(パスコード)を検知し、キーボードの上に表示してくれるため、ワンタイムパスワードをコピーしたり、張り付けたりする手間が軽減される便利な機能も備わったりしています。
SMS認証を採用することで、悪意のある第三者が「リスト型攻撃」や「総当たり攻撃」(考えられるパスワード文字列を手あたり次第試行される)を仕掛けた際に、1段階目の知識認証が突破されても、2段階目にSMS認証をかけていればスマホ・携帯電話の所持者しか認証を行えないため、アカウントの不正アクセスをされる心配はありません。
SMS認証を行うためには、SMS送信サービス・システムが利用されます。また、SMS送信サービスで認証を行うためには、自社システムとのシステム連携(API)などが必要になります。
SMS認証の活用例とは?
①チケット会員サイト登録時のSMS認証
最近よく聞くのが、「チケットの高額転売」。 これは、1ユーザーが複数メールアドレスを使って会員IDを取得し、チケット購入時にその複数のIDを使ってチケットを購入するといった事が問題になっているようです。
例えば、人気アーティストのコンサートチケットが販売されるとします。複数IDを持っているユーザーがそれぞれのIDでチケットを購入し、そのチケットを高額で転売するのです。
このような高額チケットの転売を防ぐ為、チケット会員登録時に1ユーザーが複数回会員登録をできないよう、会員登録の時点で「携帯電話番号」を入力し「認証コード」を発行して、SMSで届いた認証コードを入力して登録、と言った流れを作ることにより、チケット大量購入→高額転売を防ぐことができます。
②金融機関・証券会社での振込時のSMS認証
金融機関・証券会社にて、一定金額以上の振込を行う際に、SMS本人認証が利用されているようです。
利用方法としては、振込確定をする前にSMSにて本人認証の為の使い捨てパスワード「ワンタイムパスワード」を送り、そのコードを画面上で入力して振込といった際に利用できます。
※これはあくまでも利用内容の1例になります。サービス・システムによってはSMS本人認証時のタイミング等は異なると思います。
③カード会社のポイント交換
普段使っているカードにてポイントが貯まっていて、そのポイントを景品や別のカードのポイントに移行する際にSMS本人認証が利用されています。
これも上記2つのパターンにて紹介したようにSMS本人認証を使って「認証コード」を発行します。
こちらも②と同様、SMS本人認証のタイミングはサービス・システムによって異なると思います。
SMS送信サービスの選び方
SMS送信サービスの導入で失敗しないためのポイントを紹介します。
①"国内直収"のサービスで確実なSMS認証を行う
SMS認証を行う際に、一部ユーザーに対しては「SMSが届かない」というリスクがあります。
SMSを送る際には国内回線網と国際回線網という2種類の送信ルートがあります。
二つの回線の特長として...
国際回線:海外の回線を介してSMSを送信するため、国内携帯キャリアを利用するユーザーにとってはスパムメッセージとして一定数ブロックされてしまいます。
海外では日本と比較してSMSの流通量が圧倒的に多く、広告宣伝をはじめとするスパムメッセージも数多く流れています。
国内携帯キャリアではこのようなスパムメッセージを防ぐために国際回線を介したSMSを一定数ブロックするフィルタリング機能を備えています。これは一部の要因ですが、SMSが届かない主な原因の一つになります。
国内回線:国内の携帯キャリアに確実に届く正規ルートで送信すれば確実にSMSを届けることができます。
企業から国内キャリアユーザーにSMSを届ける際は国内回線を介してSMSを送信する国内直収(国内携帯キャリアと直接接続した)サービスを選ぶようにしましょう。
②SMS認証に必要なシステム連携(API)が容易か?
SMS認証を行う場合、自社システムとSMS送信サービスをシステム連携(API)させる必要があります。
SMS認証のような、SMSをシステムから自動送信をする仕組みは連携する際の繋ぎ込みに工数がかかるため、自社の開発部門に負担がすくないものを選べるとベストです。
開発が容易なAPI(RESTfulなど)に対応しているサービスが接続もスマートでおすすめです。
③導入実績でサービスのセキュリティレベルを測る
SMS認証はアカウントセキュリティ強化の一環として行うわけなので、SMS認証を行うための送信サービスのシステムセキュリティをチェックしておくことが重要です。
セキュリティを見る際の最も簡単な指標が導入実績です。
なぜなら上場企業をはじめとする中堅・大手企業などの導入事例がある場合、ある程度のセキュリティレベルに対応できるSMS送信サービスだという貴重な判断材料のひとつになるからです。
④セキュリティ施策の内容
IPSやファイアウォール、SMS送信サービスのコンピューターのOS、ソフトウェア、プログラムの脆弱性対策などにも注意を払えるとよいです。
実績をみることである程度の信頼感をもつことができますが、念のため具体的に行っている施策の部分まで確認しておけると安心です。
SMS認証について~まとめ~
今回はSMS認証の目的とメリット、活用例、サービス選定のポイントについて解説しました。
昨今アプリの利用、チケット会員のサイト登録、金融機関・証券会社の振込などスマートフォンで行うキャッシュレス決済をはじめ、WEB手続きなどが急速に普及しています。
同時に、WEBサービスを提供する企業はアカウントセキュリティの強化という点に理解を深めていかなければいけません。
アカウントセキュリティ強化のポイントは認証手順の複雑化です。この具体的な有効施策が二段階認証の採用です。
二段階認証には様々な手法がありますが、認証手順の複雑化でユーザービリティを下げない手軽さにも意識を向ける必要がります。なぜなら複雑がゆえにユーザーにサービスを離脱される恐れがあるからです。
ここでおすすめの認証手段となるのがセキュアで且つ手軽さのあるSMS認証による本人確認です。
SMS認証はスマホ・携帯電話が認証機器となるため、トークンなどの認証専用の機器も不要です。
更に電話番号は携帯キャリアの審査を経て付与される情報のため、電話番号を利用するSMS認証は認証手段として信頼性が高いといえます。
このようなことから、昔も今もSMS認証は幅広いシーンの本人認証手段に採用されています。
その他にも、SMSには多くのメリットがありますが、デメリットもあります。格安SIMの利用者など携帯電話番号をもっていないユーザーはSMS認証ができないということです。
ここで有効な策が「IVR」といった自動音声再生機能をもったSMS送信サービスを選んだり、SMSとメールを組み合わせて送れるサービスを選び、複数の通知手段を用い、認証を行うことが重要です。
最後に、SMS認証に必要なSMS送信サービスですが、国内回線(正規ルート)を通してSMSを送信できる、国内携帯キャリアと"直収"のサービスを選びましょう。
また、SMS認証は送信サービスと自社サービスとのシステム連携が必要となるため、システム連携がし易いシステムを選ぶと、導入から運用までスムーズです。
加えて、自社開発部門の負担も下げられるためおすすめです。
最後に、送信サービスのシステムセキュリティも重要で、最も簡単な指標はセキュリティ基準が厳しい上場企業などの導入実績があるかという点です。
いかがでしたでしょうか。今後変化していく社会に対応するため、WEBサービスに携わる担当者の方は是非アカウントセキュリティの理解を深めて頂ければ幸いです。
アカウントセキュリティ対策の一環として、SMS認証の採用など今後の施策の一手段として検討してみて頂けるとよいかと思います。
SMS関連の資料ダウンロード
キューノート エスエムエス
SMSの送信・配信サービス Cuenote SMS(キューノート SMS)は、インストールは不要で、携帯・スマートフォンを持っているユーザー全てに携帯電話網を利用したSMS配信が高速・確実に行えるASP/SaaSサービスです。開封率は90%以上という圧倒的な開封率の高さと、電話番号宛にメッセージを送れる利便性の高さが強みです。国内最高水準のメッセージングソリューションを手掛けるユミルリンクが培った配信技術と高次のセキュリティで、本人確認(SMS認証)や申し込みなどの通知をはじめ、決済通知、督促連絡、業務連絡、プロモーション用途等、様々な用途でのSMS活用をサポートいたします。