記事更新日: 2022/11/18
デジタル化が進むなかで、オンラインサービスを利用する機会も増え、セキュリティに対する関心が一層高まっています。
SMS認証とは、携帯電話のSMS機能を利用した認証手段のひとつで、セキュリティ性の向上に有効です。
この記事では、SMS認証について仕組みや有効性、メリット・デメリット、活用事例などを詳しく解説していきます。
このページの目次
SMS認証とは、スマートフォンや携帯電話のSMS(ショートメッセージ)を利用した、本人確認における認証手段のひとつです。
SMS認証はおもに、オンラインサービスやアプリの会員登録やログイン時などの2段階認証として使われます。
発行される認証コードの多くは4桁もしくは6桁の数字で、それを入力することによりシステムにログインなどができる仕組みです。
認証コードは携帯電話番号ごとに送信されるので、他人と重複することがありません。
携帯電話番号には同一の番号が存在しないため、不正ログインやなりすまし防止など、セキュリティの強化にとても優れています。
本人確認をおこなう手段として、SMS機能が有効である理由は以下のとおりです。
携帯電話の番号は身元を確認したうえで契約・発行されており、誤送信なく確実に本人にメッセージが届けられます。
前述のとおり、携帯電話番号には同一の電話番号が存在せず、基本的に契約者本人のSIMカードが入った携帯端末にしか届かないようになっているためです。
また、悪意のある人物が適当な電話番号でサイトに登録しようとしても、その人物に認証コードが届いてしまうことはありません。
SMS認証は、ユーザー側・企業側ともに安心して使える仕組みといえるのです。
SMS認証を導入する主なメリットは、以下の4つです。
それぞれ詳しく解説していきます。
SMS認証を導入することによって、セキュリティ対策の強化が図れることが大きなメリットです。
近年では、オンラインサービスやアプリの普及拡大により、本人確認の重要性が増しています。
これまで主流だったIDとパスワード、メールアドレスのみの認証では、情報が流出した際、簡単に不正アクセスされてしまい、セキュリティ面において安心とはいえませんでした。
認証コードを直接本人の携帯電話に届けられるSMS認証は、不正利用や不正ログインなど、セキュリティ対策の強化として有効です。
SMS認証といっても、専用のアプリをインストールしたり設定したり、利用者側が特別何かをするわけではありません。
利用者側は、携帯電話のSMSに届いた認証コード(4桁もしくは6桁の数字)を、画面の指示に従って入力するだけです。
セキュリティ対策の強化が図れ、なおかつ利用者が簡単に使えるSMS認証は、とてもメリットの大きいシステムだといえるでしょう。
2段階認証にはSMS認証のほか、生体認証やトークンなど別の方式もあります。
いずれもセキュリティレベルは高いですが、導入や運用のしやすさは、圧倒的にSMS認証といえるでしょう。
なぜなら、生体認証やトークンは、新たにシステムの構築が必要で、それに伴い多額なコストや時間、手間がかかるからです。
SMS認証は、API連携のできるSMS配信サービスを契約して実装するだけで、すぐに運用を開始することができます。
生体認証やトークンのような、システム構築の必要はなく、導入後の特別なメンテナンスも必要ありません。
システムにおける導入や運用のしやすさは、企業にとって大きなメリットとなるでしょう。
同一人物が大量のアカウントを取得する、いわゆる不正アカウントの取得。
大量の不正アカウントを使ってサービスが利用されてしまうと、企業側は多大な損害を被る可能性があります。
不正アカウントの取得は、IDとパスワード、メールアドレスのみで登録できてしまう、セキュリティレベルの低さが大きな要因です。
SMS認証は、本人確認書類を提示し、キャリア審査を通過した携帯電話番号のみに届けられるため、不正アカウントの取得は極めて難しいといえます。
そのため、SMS認証は、不正アカウントの取得防止にも有効な手段です。
SMS認証を導入することによって、得られるメリットは多いです。
しかしながら、デメリットもありますので、導入前に知っておくと良いでしょう。
SMS認証のデメリットは、以下の3つです。
それぞれ詳しく解説していきます。
受信側がSMSの受信拒否設定をおこなっている場合、メッセージは届きません。
つまり、受信拒否設定がされている携帯電話には、認証コードを送信しても届かないということです。
SMSは、到着率・開封率ともに90%以上と、圧倒的な高さを誇ります。
しかしながら、確実に届くとは限らないのです。
送信しても認証コードが確認できないという場合、利用者側の設定を確認してもらう必要があるでしょう。
使用しているSMS認証サービスが、国際通信網を利用したものである場合、メッセージが届かないケースがあります。
なぜなら、国際通信網から送信されたメッセージは、キャリア側がスパムと認識し、ブロックしてしまう可能性があるからです。
SMS認証システムを導入する際は、国内網を使用したサービスを選ぶようにすると良いでしょう。
SMSが標準機能として搭載されている大手3キャリア(ドコモ・au・ソフトバンク)に関しては問題ありません。
しかしながら、格安SIMにはデータ通信専用というプランがあり、もともとSMS機能がついていないケースがあります。
利用者が格安SIMでデータ通信専用プランを利用している場合は、SMS認証が使えないということを知っておきましょう。
SMS認証は、実際どのような仕組みで使われているのでしょうか。
ここでは、SMS認証の仕組みを、それぞれ「利用者側」と「配信側(企業)」に分けて解説していきます。
SMS認証における、利用者側から見た動作の流れは、おおむね以下のとおりです。
1. Webサービスのログイン画面にて、「ID」と「パスワード」を入力する
2. SMSの2段階認証画面で、自分の携帯電話番号を入力し、送信する
3. 入力した携帯番号宛に、認証コード(4桁もしくは6桁の数字)が届く
4. 届いた認証コードをログイン画面にて入力する
5. 認証コードの内容に誤りがなければ認証が完了し、ログインすることができる
このような流れでSMS認証は進められていきます。
認証コードは携帯電話番号を送信した直後に受信され、手順も簡単なので、3分もあれば完了するでしょう。
次に、配信側(企業)の視点から、SMS認証の仕組みを見ていきます。
配信側における動作の流れは、おおむね以下のとおりです。
1. 利用者から要求されたSMS認証に対し、APIを通してSMS配信サービスに「認証コード」の送信を要求する
2. 認証コードの送信要求を受けたSMS配信サービスが認証コードを発行し、利用者へ送信する
3. 利用者が認証コードを入力すると、APIを通してSMS配信サービスから送達結果が通知される
4. 利用者が入力した認証コードに誤りがなければ、その時点で認証が完了となる
企業がSMS認証を導入する場合、「自社システム」と「API」を連携させる必要があります。
APIは、SMS配信サービスによってそれぞれ仕様が異なるため、自社システムとの連携可否や容易さなどをよく確認しておきましょう。
オンラインサービスにおけるセキュリティ対策に、SMS認証はとても有効なシステムです。
近年では多くの企業がSMS認証を導入しています。
インターネットを活用したさまざまなサービスがあるなかで、SMS認証はどのようなシーンで活用されているのでしょうか。
SMS認証システムのおもな活用事例を3つ紹介します。
金融機関では、主にネットバンキングの口座開設時やログイン時、振り込みなどの資金移動をおこなう際にSMS認証が使われています。
SMS認証は、自ら入力した携帯電話番号にしか認証コードが送信されないため、本人確認として有効な手段です。
IDとパスワードに加え、SMS認証を取り入れることで不正利用を効果的に防ぎ、安全かつ便利なサービス提供を可能とします。
また、金融機関ではSMS認証のほか、トークンと呼ばれる専用機器を活用することが多いです。
トークンは、専用機器内でワンタイムパスワードを生成して表示するもので、携帯電話を所有していない人が多く利用しています。
TwitterやInstagramなど、SNSのアカウントを新規で作成する際、本人確認としてSMS認証が活用されています。
SNSでは、アカウントの乗っ取りや第三者による不正アクセスの防止、複数アカウントの作成を制限することが主な目的です。
特にSNSは利用者がとても多く、利用する目的も人それぞれ異なります。
そうしたなか、安心して利用してもらうには、徹底した個人認証が不可欠です。
SMS認証は、本人確認をより確実にするための有効な手段であり、不正利用やフィッシング詐欺などあらゆる不正行為を防止します。
オンラインショッピングやアプリなど、オンラインサービスでもSMS認証が活用されています。
オンラインサービスでは、サイト利用時の会員登録や商品購入の決済時などの本人確認で用いられることがほとんどです。
今ではネットショッピングも、クレジットカードなどキャッシュレス決済に対応するサイトが増え、買い物における利便性も増しています。
しかしその一方で、第三者に重要な情報が盗み取られ、知らぬ間に使用されてしまうという不正利用の被害も少なくありません。
SMS認証は、携帯電話に受信した認証コードがないと、サイトへのログインができない仕組みとなっています。
そのため、たとえIDやパスワードが盗まれたり漏洩したりしても、なりすましや不正ログインなどを防止することが可能なのです。
デジタル化に伴い、日常生活のなかでもキャッシュレス化が進んでいます。
キャッシュレス化で利便性が向上する一方で、問題視されているのが、第三者による「不正利用」でしょう。
ここで、実際に起きた不正利用の実例を紹介します。
【不正利用の実例(株式会社セブン&アイ・ホールディングス)】
2019年7月、セブンイレブンは独自のバーコード決済「セブンペイ」のサービスを開始させました。
しかしながら、システムの脆弱性により、1500人以上のアカウントが不正利用され、約3,240万円の損害を被ることとなったのです。
不正アクセス事件をうけセブンペイは、開始から2ヵ月後の9月末をもって、すべてのサービスが終了となりました。
【セブンペイが不正利用された主な要因】
▶︎会員登録時、IDとメールアドレスだけで登録できる簡易的な仕様にしていた。
▶︎SMS認証など2段階認証はおこなっていなかった。
事件が発生した要因はいくつかありますが、セキュリティ対策における意識の低さが主な要因だと考えられます。
電子マネーやクレジットカードなど、オンライン決済サービスを導入している場合、SMS認証をはじめ二段階認証は必須だといえるでしょう。
認証手段としてSMS認証をおこなうには、SMS認証システムを導入する必要があります。
しかしながら、SMS認証システムを提供しているサービスが多く、システム選びも簡単ではありません。
ここでは、システム選びで失敗しないよう、選び方のポイントを4つ紹介していきます。
SMS認証は、利用者から認証の要求を受けたら、瞬時に認証コードを自動で返信する必要があります。
瞬時に自動返信するためには、自社システムとAPIの連携が不可欠です。
しかしながら、API はSMS配信サービスによって仕様が異なり、自社システムとの相性の良否があります。
SMS配信サービスを選ぶ際は、APIと自社システムとの連携可否はもちろん、連携のしやすさに関しても確認するようにしましょう。
SMS配信サービスには、接続方式が「国内直収接続」と「国際網接続」の2種類あります。
国内直収接続は、国内キャリアと直接接続するため到達率が高く、送達結果も詳しく知ることが可能です。
一方で国際網接続の場合は、海外の回線網を利用してSMSを送信します。
国内直収に比べ、コストを安く抑えられるというメリットはありますが、スパムとしてキャリア側にブロックされる可能性が高いです。
認証コードを確実に利用者のSMSへ届けるためにも、国内直収接続サービスを選ぶようにしましょう。
SMS認証システムに限りませんが、システムの操作性や使いやすさはとても重要です。
システムの操作がむずかしく使いづらいと、担当者の負担が大きくなり、スムーズな運用ができなくなる可能性があります。
導入したものの、あまり使えなかったという結果にならないよう、無料トライアルや無料デモなどを積極的に活用しましょう。
サポート体制に関しても重要な選定ポイントです。
とくにSMS認証の場合、自社システムとAPIを連携させなければなりません。
導入時の設定手順はもちろん、使い方や運用アドバイスなど、サポート体制が充実しているサービスを選ぶようにしましょう。
SMS認証は、スマートフォンや携帯電話に搭載されているSMSを利用した、認証手段のひとつです。
携帯電話番号を使用するSMS認証は本人確認の2段階認証に有効で、おもに会員登録やログイン時などに活用されています。
デジタル化が進むなかで、ショッピングサイトやネットバンキングなど、オンラインサービスを利用する機会も増加の一方です。。
誰もが安心してオンラインサービスが利用できるよう、企業のセキュリティ対策として、SMS認証は欠かせないシステムといえるでしょう。
ぜひ、SMS認証について仕組みや有効性などを熟知し、セキュリティ対策の向上にお役立てください。
画像出典元:O-DAN
