SMS認証とは?

SMS認証は、携帯電話番号宛に送られてくる「確認コード」をサイトやサービスに入力してログインする仕組みのことです。ショッピングサイトやTwitter、インターネットバンクなど、あらゆるWebサービスへのログインには、IDとパスワードを入力した後、SMS認証を利用しているのではないでしょうか。ログイン時に必要なIDとパスワード、秘密の質問は知識認証と呼ばれ、その情報を知っている人はログインできるため、セキュリティ対策として十分ではありません。

しかし、所有物認証と呼ばれるSMS認証は、個人の携帯電話に「確認コード」が送られてくるため、本人しか所有できないものを認証に利用しています。個人が所有する端末を利用しているため、セキュリティ対策として十分な効果を発揮します。SMS認証は本人確認の2回目で利用されることが多く、2回本人確認を行う認証方法は「2段階認証」と呼ばれています。本人確認のために使用される認証の種類は他にもありますが、SMS認証の利便性は高いため、多くのサービスで利用されています。

IVR認証とは?仕組みや特徴、SMS認証などとの違いを徹底解説 – SMS送信サービス「KDDIメッセージキャスト」

本人認証サービス(3Dセキュア)とは?仕組みやメリットなどについて解説! – SMS送信サービス「KDDIメッセージキャスト」

SMSとメールの違い

SMSとメールとでは、明確な違いがいくつかあります。

まず、SMSは電話回線を使ってメッセージを送るサービスであり、相手の電話番号さえ分かれば利用できます。1通ごとに送信側に料金がかかり、送れる文字数の制限があります。

一方、メールは相手のメールアドレスを登録する必要がありますが、送受信にかかる費用は無料です。SMSよりは多くの文字を送ることができ、画像や動画の添付も可能です。

SMS認証が企業で活用される理由

SMS認証が急速に企業で活用されるようになった理由は2つあります。1つはSMSが個別性と迅速性を兼ね備えているからです。SMSはすぐに到着するショートメッセージで、携帯電話番号宛に送るので他の人に届くことはありません。1人1番号の時代になって認証方法としての信頼性が高まっています。

もう1つはスマートフォンの普及率が高まり、SMSを利用できるユーザーが増えたことです。多くの人の認証プロセスとして使えるようになってSMS認証の導入が進んでいます。

SMS認証の仕組み

SMS認証の仕組みは「利用者側」と「配信者側」に分けて考えることで、仕組みが理解しやすくなります。WebサービスでSMS認証を行なっていると仮定し、まずは「利用者側」の流れを紹介します。

SMS認証利用者側

  1. Webサービスログイン画面でIDとパスワードを入力
  2. SMSの2段階認証画面で携帯番号を送信する
  3. 携帯電話番号宛に「確認コード」が記載されたメッセージが届く
  4. ログイン画面に「届いた確認コード」を入力する

確認コードが正しければ認証されログインできます。

次にWebサービスの配信者側の視点に立ったSMS認証の仕組みを紹介します。

SMS認証配信者側

  1. 利用者からSMS認証の要求を受け取った企業は、APIを通してSMS配信サービスに「確認コード」の送信を要求します。
  2. 次に、要求を受けたSMS配信サービスは「確認コード」が記載されたメッセージを利用者に送ります。
  3. 「確認コード」を受け取った利用者がログイン画面にそのコードを入力すると、APIを通してSMS配信サービスから企業へ送達の結果が通知されます。
  4. 入力された「確認コード」が正しければ、認証完了です。

Webサービス配信者がSMS認証を導入するためには「システムを開発する」か「自社システムとAPIの連携」が必要です。

SMS認証などの2段階認証の重要性

ひと昔前では、サービスへのログインにIDとパスワードだけを入力することが一般的でした。しかし近年では、SNSやオンラインショッピング、ネットバンクの普及により、2段階認証が当たり前の時代になりました。Web上でさまざまな情報がやり取りできるようになった結果、IDやパスワードを盗まれ、不正ログインされたり、パスワードの使い回しで個人情報が流出し不正利用されたりと、多くの問題が浮き彫りになりました。個人情報を守るためには2段階認証が必要とされています。

2段階認証は、IDとパスワードに加え、もう1段階のセキュリティ強化のため、生体認証やトークンによるパスワードの発行、SMS認証などを利用します。仮にIDとパスワードが流失した場合に、2つ目の認証で不正を防止できます。Webサービスを利用されているお客さまの個人情報を守るためにも2段階認証を導入することをおすすめします。

SMS認証を導入するメリット

SMS認証を導入することで、利用者側・配信者側の両方にとってメリットがあります。

①導入しやすく、運用コストが安い

2段階認証の内、生体認証やトークンはシステム開発に費用と時間がかかり、導入後のメンテナンスも必要なため、ハードルが高くなります。一方でSMS認証は、SMSのメッセージ機能を利用した認証のため、システムを1から作る必要がありません。導入しやすくコストを抑えることができます。

②セキュリティ対策の強化

さまざまなWebサービスの普及により、本人確認の重要性は高まっています。SMS認証は、個人の携帯電話番号にメッセージを送る「SMS」を利用した認証のため、基本的に端末を本人以外が所持していることはありません。他人にパスワードが漏れる可能性が低いので、セキュリティ対策として有効な手段になっています。

③不正アカウント登録防止

複数のアカウントを作ることで利益を上げられるサービスの場合、IDとパスワード、メールアドレスのみの登録では、膨大な数のアカウントを取得されるリスクがあります。不正なアカウントを使ってサービスを利用された結果、企業側に損失が出る可能性もあります。こうしたことを防ぐため、不正アカウントの登録防止にSMS認証が役立ちます。

④操作が簡単で多くの人に利用してもらえる

2段階認証で利用されるSMS認証は、利用者側の携帯電話に送られてくる「確認コード」をログイン時に入力するだけなので、既に多くのサービスやアプリで導入されています。利用者にとって慣れ親しんだサービスのため、新しいサービスにも導入しやすいシステムです。また、初めて利用される方にとっても、簡単な操作で本人確認を取れるのは大きなメリットです。

SMS認証を導入するデメリット

SMS認証は普及率も高く、セキュリティ強化を簡単に行える認証手段として認知されていますが、すべての課題を解決できるわけではありません。

①格安SIMユーザーが利用できない場合がある

大手キャリアのNTTドコモやau、ソフトバンクは、SMSサービスを標準機能として初めから利用できます。しかし、格安SIMを利用しているユーザーはプランによって、SMS自体が利用できません。SMS認証は、多くのサービスで普及しているため、プランの変更が必要な場合もあります。

②SMSの受信設定によってはメッセージが届かない

SMSの受信側でメッセージの拒否設定を行なっていると認証コードが届かず、利用できない可能性があります。2段階認証時に確認コードが届かない場合、一度拒否設定を確認してみてください。

③ログインできなくなる可能性がある

端末の紛失や解約、機種変更した場合、ログインできなくなる可能性があります。それは、2段階認証を進める上で、携帯電話番号宛に届いたコードの確認が必要だからです。特に携帯電話を解約した場合、他人に「認証コード」が流出する可能性も考えられます。物理的な鍵と同じ役割を果たしている端末の取り扱いに注意が必要です。

SMS認証サービスの導入手順

それでは、具体的にSMS認証サービスを導入する手順と方法をご紹介します。

SMS認証サービスの選定

SMS配信サービスを提供する会社は多いですが、自社のシステムとAPI連携できるSMS認証サービスかどうか、その要件を満たしているかどうかをまずはチェックする必要があります。SMS認証のために導入する場合は特に、必要なタイミングでSMSを即時に送る機能が不可欠となり、その仕組みづくりのためにAPI連携は必須です。

連携する機能を開発・実装する

サービスを選んだあとは、API連携をして具体的な機能の実装をしていくこととなります。この言葉だけを見れば難しそうと思うかもしれませんが、実際は詳細な仕様書やサンプルコードの提供などを受けて進めることとなるため、大きな負担がかかることはあまりないといえるでしょう。利用するSMS配信サービスによっては、サポートが受けられる場合もあります。

試用・テストを行う

顧客に届ける前に、不具合がないかどうかの確認を慎重に行う必要があります。きちんと自社のWebサービスと連携してSMSが送れているか、確認コードが一定時間内に制御できているかどうか、遅延はないかなど、さまざまな面からチェックをして問題がないかを確認します。

運用開始

テスト内容に問題がなければ、運用開始となります。

SMS認証サービスの選び方

SMS認証サービスの選び方のポイントは、API連携のしやすさが重要です。API連携は、既存システムとのつなぎ込みが必要なため、事前にシステムチームと連携し、より連携しやすいサービスを選定するのが良いです。また確実にSMS送信を届けるための国内直収のサービスを選ぶことをおすすめします。

①API連携のしやすさ

SMS認証サービスを作るためにはAPI連携のしやすさがポイントです。サービスのAPI仕様書に依存するため、実装にあたっての難しさがないサービスをおすすめします。

②国内直収サービス

SMS認証を実装する上で国内直収サービスを利用するのをおすすめします。国内直収のサービスであれば到達率が高くなるため、到達率の高い認証サービスの構築が可能になります。

③遅延対策がされている

SMS認証はすぐに伝わるのがメリットですが、送信しても到着が遅れることはあります。遅延対策がされているSMS認証サービスを利用するのがおすすめです。優先送信制御機能があったり、キャパシティが大きくて大量のSMSも送信できたりするサービスを選ぶと安心です。遅延はトラブルの原因になるので対策が講じられていることを重視しましょう。

④対応キャリア数

SMS認証サービスは対応しているキャリアが限定されている場合があります。少なくともdocomo、au、Softbankの3大キャリアに対応しているサービスを選びましょう。楽天モバイルもシェアが広がっているので対応しているのが理想的です。SMS認証ができないから使えないというユーザーをできるだけ少なくするために、対応キャリア数が多いサービスにするのがおすすめです。

⑤セキュリティやサポート

SMS認証サービスは個人情報を使用するのでセキュリティが充実していて安全性が高いことが重要です。いつでも気軽に相談できるサポート体制が整っているとトラブルの発生時にもすぐに対処できます。セキュリティとサポートは各社を比較して、安全性が高くて自社にとって使い勝手が良いサービスを選び出すのが大切です。

SMS認証サービス導入時の注意点

SMS認証サービスを導入すると、なりすまし行為による被害を防ぎやすくはなりますが、100%防げるとは言い切れません。海外のサービスなどを使って一時的に電話番号を取得し、SMS認証を突破する手段が確認されており、こうした悪用は不正アクセスにつながる危険性もあります。なりすまし行為で多大な被害が発生しそうなサービスを行っている場合は、他のセキュリティと併用して対策をする必要もあります。

SMSが届かない場合の対処法

SMS認証のときに未達になってしまって認証ができない場合があります。よくある原因はユーザーによる受信拒否です。国際キャリアを使用するとフィルターされるリスクがあるため、国内直収のサービスを利用するのがおすすめです。文字数などの制限を受けてしまってSMSが届かないこともあるので、基本的には670文字以内に収めましょう。そもそも電話番号が間違っていてSMSが届かない場合もあります。この場合にはメールなどで送信先に連絡して電話番号の確認を取りましょう。

関連リンク:SMS(ショートメッセージ)が届かない原因は?確認事項と対処法を解説
https://sms.supership.jp/blog/sms/post-57/

SMS認証サービスの費用・料金相場

SMS認証サービスは法人向けのSMS送信サービスを通して利用できます。SMS1通あたりの単価は6円~10円で、SMS認証のときにも基本的にはSMSを自動送信するだけなので同じ費用がかかります。従量制の料金システムが一般的で、使った分だけ支払えば良いサービスが主流です。SMS認証はユーザーが認証を受けようとする度に費用が発生するため、単価が安いサービスを選ぶと経済的です。国際キャリアは国内キャリアより安い傾向がありますが、到達率の問題が起こり得るので注意しましょう。

関連リンク:SMS(ショートメッセージ)の送信料と受信料について
https://sms.supership.jp/blog/sms/post-160/

SMS認証の活用事例

事例①決済サービスのログイン認証

決済サービスのログイン時に不正利用を防ぐために二段階認証を活用しています。例えばチケット販売システムでは、二段階認証をSMSで行うことで不正購入の抑止にもなります。

事例②SNSサービスのログイン認証

SNSサービスの二段階認証としてSMSが活用されています。ユーザー名パスワードのみでは、もし流出したものを使い続けているとアカウントを乗っ取られる可能性があります。

Twitterの認証コードがSMSで届かない?原因から対処法まで解説! – SMS送信サービス「KDDIメッセージキャスト」

法人向けSMS送信サービスなら「KDDI Message Cast」

KDDI Message CastはSMS認証を簡単に利用できるSMS送信サービスです。国内直収接続で信頼性が高く、API連携にも対応していて拡張性も高いのが魅力です。誤配信防止オプションにも対応していて、ユーザーから信頼されるSMS認証を実現できます。キャリアの対応範囲も広いので、KDDI Message CastはSMS認証の目的で導入するサービスとして優れています。

KDDI Message Castでは万が一届かなかったときには請求しないというポリシーを持っています。二段階認証の用途で導入されてきた実績も豊富なので、安心して使えるサービスです。SMS認証の導入では初期費用無料の従量制なので費用対効果を上げやすいでしょう。機能面も充実していて、SMSのマーケティング展開もしやすいサービスなのでぜひご検討ください。

まとめ

この記事では、SMS認証について解説しました。SMS認証は、携帯電話宛に送られてくる「確認コード」をサービスやサイトに入力し、ログインする仕組みのことです。Webサービスの普及により、IDやパスワードだけでは個人情報を守りきれなくなり、IDとパスワードの他、生体認証やワンタイムトークン、SMS認証を利用した、2段階認証が一般的になっています。特にSMS認証は、携帯端末の普及率が90%を超えていることから、多くのサービスで採用されています。

Webサービスを展開する企業にとっても、1からシステムを構築する必要がなく、自社システムとAPIを連携するだけで、時間や手間をかけずに2段階認証を導入することができます。また、導入後もメンテナンス費用がかからないため、運用コストを抑えることが可能です。自社システムとAPIの連携については、導入を検討しているSMS送信サービスにご相談ください。

「KDDI Message Cast」ではSMS送信サービスを提供しております。豊富な機能でお客様のSMS送信を支援しておりますので是非ご活用ください。

KDDIのSMS送信サービスについて詳しく知りたい方はこちら