SMS認証とは?携帯電話番号を使った本人認証の方法や仕組みを解説
現在、Amazonなどの大手ECサイトや保険会社、銀行など多くの企業で、セキュリティの厳格化が行えユーザーにとっても操作が簡単な本人確認手段として、携帯電話番号を使った「SMS(エスエムエス)認証」が導入されています。
スマートフォンやパソコンから、サービス提供を誰もが自由に受けられるようになった昨今、顧客情報のセキュリティ強化が企業には求められているからです。
本記事では携帯電話番号で本人確認を行うSMS認証について徹底解説します。
二段階認証にSMSを活用してみませんか?
SMSを活用したワンタイムパスワードの導入で自サービスのセキュリティを強化
⇒資料のダウンロードはこちらから
【SMS認証とは?】
SMS(Short Mail Service=ショートメール)はスマホやガラケーなどの携帯電話間で、テキストをやりとりできる仕組みのことです。
SMSはインターネットを使って送受信されるのではなく、キャリアが管理する携帯電話回線を使って送受信されます。
携帯電話番号がわかれば利用でき、確実かつ安全に情報が送れて、開封率が高い点もSMSの大きな特徴です。
このSMSを利用して本人確認を行うSMS認証は、有効な認証手段のひとつとして活用されています。
具体的には、携帯電話番号宛に認証コードを送って、そのコードを画面上で入力することで認証を行うものです。
●認証の3要素
はじめに、認証手段で利用する3種類の要素を確認しましょう。
- 知識:ユーザーしか知らない情報(パスワード、ID、秘密の質問など)
- 所有:認証されるユーザーが所有する固有物(ICカード、キャッシュカード、ワンタイムパスワードやそのハードウエアトークンなど)
- 存在:ユーザーの身体にある特徴(指紋、虹彩、顔、静脈など)
ひとつの要素を使って認証するより、複数の要素を組み合わせた認証の方が、よりセキュアです。
この3要素の中の複数の異なる要素組み合わせによる認証は、二要素認証、多要素認証などと呼ばれます。
●SMS認証と二段階認証の違い
二段階認証とは、文字通り二段階(二回)を要する認証方法で、ステップを踏むことでより安全であると考えられます。
二段階認証は二度とも同じ要素を使っても良く、たとえば一度目はパスワードとID(知識)、二度目は秘密の質問(知識)の組み合わせでも成り立ちます。
SMS認証では、SMSそのものが携帯電話番号に紐づく点では知識要素を含みますが、認証の要となる認証コードが所有要素になるため、SMS認証そのものが二要素認証/多要素認証であると考えられます。
●SMSが認証に有効な理由
携帯電話番号は固定電話同様に、同一番号が存在しません。
万一、ユーザーが自分の携帯電話番号を間違って記入した場合や、悪意あるユーザーが適当な番号を入力したところで認証コードが届くことはないため、SMS認証はユーザー、企業双方にとって安心できる仕組みといえるのです。
二段階認証にSMSを活用してみませんか?
SMSを活用したワンタイムパスワードの導入で自サービスのセキュリティを強化
⇒資料のダウンロードはこちらから
【なぜSMS認証が必要なのか】
SMS認証が求められているのには、以下のような理由があります。
●企業にセキュリティ強化が求められた
ビジネスにネットワークを活用しているすべての企業にとって、セキュリティの確保は大きな課題です。
導入コストがさほど企業の負担にならず、安心・安全が手に入れられるベストソリューションがSMS認証と言えます。
とくに個人情報を扱うサービスの場合には、SMS認証は必須と言ってもよいでしょう。
●不正アクセスのリスク回避
メールアドレスを使った不正が後を絶ちません。
こうしたことが起これば、企業の信用が丸潰れになるのはもちろん、ユーザーが大きな被害を受けてしまうことも少なくありません。
SMS認証であれば携帯電話番号ひとつに対し、ひとつのアカウントしか取得できませんので、アカウントの乗っ取り、不正アカウント取得ともに困難といるでしょう。
●SMS認証の活用で安全なサービスを提供
多要素認証であるSMS認証を使えば、企業は安心してサービス提供ができるので、プロモーションのスピードアップは間違いありません。
SMS認証が使われ始めた頃は、二度も入力が求められるプロセスは面倒と感じるユーザーが多かったのですが、コード入力が自動入力できる機能の登場や、セキュリティの概念がユーザーにも浸透したことで受け入れられやすくなりました。
【SMS認証のメリット・デメリット】
SMS認証のメリット、デメリットについて確認してみましょう。
●メリット
メリットは次の3つが考えられます。
- セキュリティ性
- 不正アクセスのリスク回避
- 簡単に利用できる
それぞれについて解説していきましょう。
・セキュリティ性
SMS認証の認証コードは所有要素であり、パスワード/ID(知識要素)などとの組み合わせで多要素認証になるため、安全性が高いのです。
昨今は携帯電話を肌身離さず常備している人がほとんどのため、本人確認は容易ですし、SMSにより送信された認証データの紛失リスクもきわめて少ないといえます。
・不正アクセスのリスク回避
メールアドレスの場合、大量の不正アカウントを取得して悪用することが可能ですが、SMS認証で同じことをするのはきわめて困難なので、大量の不正アカウント作成防止にも効果があります。
・簡単に利用できる
SMS認証のために、ユーザーが前もって専用アプリをインストールする必要はありません。
スマホをもっていなくても、ガラケーでSMSを受信可能ですし、数字の入力を間違わない限り認証を失敗することがありませんから、利用ハードルはかなり低いといえます。
企業にとっては導入および運用コストが比較的安価で、導入の初期費用は無料といったサービスもありますので、SMS認証の活用を迅速に進めることができます。
●デメリット
SMS認証のデメリットも3つ考えられます。
- SMSを受信拒否されたら認証コードが届かない
- 国際網を利用したSMS送信サービスは使用不可
- 格安スマホではSMSが受信不可の場合も
・SMSを受信拒否されたら認証コードが届かない
スパムメール被害に遭ったことがある方であれば、SMS受信の制御をしていることがほとんど。
つまり、自分が許可している携帯電話番号以外は受信拒否するか、SMSを一切受信しない設定にしているのです。
SMSが届かないことには、当然ながらSMS認証は成立しません。
SMS認証を可能にするためには、ユーザーには一時的でもSMSが届く設定に変更してもらう必要があります。
・国際網を利用したSMS送信サービスは使用不可
企業が国際回線を利用した海外サービスを使っている場合、日本国内ユーザーにSMSを送信しても、日本のキャリア側でスパムと認識されてブロックされる可能性があります。
確実に届けたいなら、国内網のSMS送信サービスと別途契約する必要があるでしょう。
・格安スマホではSMSが受信不可の場合も
格安SIMの場合、SMSの利用にはオプション契約が必要な場合がありますので、SMSが受け取れる携帯電話環境なのか、SMS送信する前にユーザーに確認することが必要です。
SMSを受信する機能を持たないユーザーのために、登録の携帯電話番号から指定の固定電話番号に電話をかけることで認証を完了する方法など、他の認証方法の用意もしておくのが安心でしょう。
【SMS認証の方法と仕組み】
SMS認証の一般的な操作プロセスは次の通りです:
ユーザー側:
- ユーザーがシステムのログインフィールドでID/パスワードを入力
- システムが認証コード(ワンタイムパスワードなど)を発行し、その認証コードが記載されたSMSがユーザーの携帯電話番号あてに送付
- 送付されたSMSをユーザーが開封し、認証コードをログイン画面に入力
- 正しいコードであれば認証完了
企業側:
- ユーザーからSMS認証の要求があると、企業はAPI経由でSMS送信サービスに送信を要求
- SMS送信サービスが認証コードを記載したSMSをユーザーの携帯電話番号に送信
- Web上で認証コードが入力されると、API経由でSMS送信サービスから企業側に送信結果を通知
- 正しいことが確認されたら認証完了
●iPhoneの便利機能
日本ではスマホのトップシェアを誇るアップルのiPhone。
iPhoneにはSMS認証の活用に際して、役立つ機能があります。
自分が使用しているすべてのAppleデバイスで同一のApple IDにサインインしておけば、連携機能を使ってデバイス間を行き来できるのですが、SMS/MMS転送機能を使えばiPhoneで受信したSMSをMac PC、iPad、iPod touchでも表示でき、好きなデバイスでSMS認証プロセスを進められます。
また、iOS12の新機能のひとつとして、SMSパスコードの自動入力機能が搭載されているのもアドバンテージです。
iPhoneにSMSで送付されたワンタイムパスコードが画面上に表示され、それをタップすると自動入力される、というもので、手入力で起こりがちな打ち間違いもありませんし、ログインまでに時間制限があるサービスではとくに有効です。
●一斉送信ツールの必要性
SMSは一人ずつ個別に送信するのが基本。
しかも、送信数や文字数に上限があるため、それだけではビジネスユースに向きません。
企業がSMS認証を有効活用するには、SMSでも文字数制限なしで、案件に応じて個別送信、一斉送信どちらもできる「絶対リーチ!SMS」のような優れたSMS送信サービスを利用することが必要です。
【SMS認証の活用例】
SMS認証の活用例を紹介します。
●ECサイト
ECサイトでは、パスワードリスト攻撃による不正ログイン被害が多発しています。
顧客がIDとパスワードを色々なサイトで使いまわしていると、その被害に合いやすくなりますが、顧客が普段使っていないIPアドレスやデバイスからのログインを検出した時に、SMS認証で本人確認ができれば、不正ログインを未然に防ぐことができるのです。
まずは、不審なログインが検知できる運用体制を構築し、不審なログインをキャッチしたら顧客が登録している携帯電話番号へ、SMSでワンタイムパスワードを送信する設定をすれば万全です。
SMS認証により顧客を不正ログインから守ることができますし、パスワードリスト攻撃で顧客の信頼を失うことも防げます。
●保険会社
通常は対面で行っている保険申し込み手続きも、このコロナ禍で、ほとんどの保険会社ではメールか郵送で必要書類をやりとりしながら行うことになりました。
はたして顧客がちゃんと書類を受け取ったのか、必要事項を記入して送り返したのか、という確認が取りづらく、契約プロセス全体が遅れてしまうことに。
しかし、SMS認証を利用することで顧客に書類送付を連絡すると共に、顧客の本人認証も行うことがスムーズにできます。
●銀行
最近はネットバンキングで高額な振り込みをする場合、本人確認のために、携帯電話番号にSMSでワンタイムパスワードを送信するSMS認証の利用が増えています。
ネットバンキングがスタートして以来、多くの損害をもたらしてきた第三者によるなりすましや、偽造カードでの不正利用といった犯罪が、SMS認証により未然に防ぐことができるように。
【これを機に自社サービスのセキュリティの見直しを!】
今回はSMS認証についてご紹介しました。
重要性についてご理解いただけたでしょうか?
不正アクセスの被害が起きてからでは手遅れです。
これを機に、自社システムのセキュリティについて、改めて確認してみてはいかがでしょうか。
その結果、何が課題なのか、どのようなツールやサービスを使えば、それが解決できるかが明確になるでしょう。
絶対リーチ!SMSでは、SMS認証に必要なさまざまなサービスをご提供しています。
より詳細を知りたい方は、お気軽にお問い合わせください。
