SMS認証とは？電話番号による本人確認の仕組みとメリット

近年、WEBサービスやアプリなどでの本人確認のために、SMS認証を追加して二段階認証を行い、セキュリティを強化する企業が増えています。しかしSMS認証という言葉を聞いたことはあるものの、具体的にはどういったものなのかよく分からない、という人も多いのではないでしょうか？自社サービスのセキュリティについて考えるなら、SMS認証は是非知っておきたい方法の一つです。

今回は、SMS認証の仕組みやメリット、使い方について解説します。

Chapter

SMS認証の方法と流れ

SMS認証のメリット・デメリット

SMS認証を導入する際に確認しておくべきこと

SMS認証をワンコールで完結できる専用API

SMS認証の方法と流れ

SMS認証（二段階認証）の一般的な流れ

1. システム側で認証コードを発行
2. 認証コードが記載されたSMSをユーザーへ送信
3. 受け取った認証コードをフォームなどへ入力してもらう

SMS認証の方法として上記のような流れが一般的です。多くの場合で認証コードには有効期限が決められており、1回しか使えません（別名ワンタイムパスワードとも呼ばれています）。そのため、同じ人が再び本人確認を試みた場合でも、また別の認証コードが発行されます。

なぜ、このような仕組みが導入されているのかというと、例えばログインに必要な情報がIDとパスワードのみの場合、そのデータが他者に渡ると簡単に不正ログインができてしまいます。そのため追加で1回しか利用できない認証コードを発行し、登録されている携帯電話番号を使ってSMSで送信し顧客に入力してもらうことで、本人以外からの不正ログインを防ぐようにしているのです。

SMSが本人認証に利用されている理由

SMSが二段階目の認証として使われている理由は、携帯電話番号を利用しておりセキュリティ的に強いためです。 Gmailなどのフリーメールアドレスは、インターネットさえ繋がっていればPCでもスマートフォンでも利用できるためとても便利。しかし他者にログイン情報が渡ってしまえば簡単に不正ログインできるため、二段階認証で使用するにはセキュリティ面で不安が大きいツールといえます。

一方で携帯電話番号は、発行するためにキャリアによる審査が必要なので不正取得をすることが難しく、また携帯電話本体を持っている本人しかSMSを受け取ることはできません。仮に携帯電話番号が流出しても、不正ログインしてSMSの内容を盗み見ることはできないため、より確実に本人確認を行うことが可能です。

加えて、SMS認証は低コストというメリットがあります。SMS自体の送信単価が安いためコスト面での負担を減らすことができ、かつセキュリティを強化することもできるため、導入する企業としてもメリットが多い認証方法といえます。

SMS認証のメリット・デメリット

主な認証の種類は「知識」「所有」「生体」の3つ

セキュリティを高めるために導入される認証ですが、大きく分けて3つの種類があります。
例えば、ログイン時に多いIDとパスワードの入力は「知識認証」の1つ。知識認証とは、記憶している情報を元に行う認証のことです。ここで必要となるのは本人が記憶している情報のみなので、ログイン情報が流出すると乗っ取りなどが可能となります。

一方で、スマートフォンなどでも導入されている指紋認証や顔認証は「生体認証」に分類されます。生体認証では自分の身体の一部がログイン情報となるため、記憶しておく必要はありません。そのため認証にかかるタイムラグが少ないのがメリット。ただし、身体情報の読み取り装置にかかる導入コストが高い部分が懸念点です。

SMS認証は所有物認証の1つ

SMSは受信するために携帯電話が必要となるため、認証の区分としては所有物認証となります。所有物認証ではその名の通り、所有しているものがパスワードになる認証方法のことです。所有物認証のメリットとしては、ログイン情報を記憶しておく必要がないことが挙げられます。一方でデメリットは、所有していればログインできるため、盗まれた際に不正ログインされる可能性があることです。知識認証と合わせて利用されることも多く、どちらか一方が流出または盗まれても不正ログインは不可能なため、よりセキュリティを高めることができます。

導入コストは認証方式によって異なりますが、SMS認証は比較的安いのが特徴。SMS認証を提供しているサービスの中には、初期費用が0円のものもあるため、SMSの送信にかかる料金のみで実装できる場合もあります。また、ユーザ側で所有してもらうのは自分の携帯電話だけで良いため、負担が少ないのもメリットです。
SMS送信サービスの利用料金については「SMSの料金は？一斉送信する際の費用計算方法を解説」でも詳しく解説しています。

SMS認証を導入する際に確認しておくべきこと

SMSが二段階認証に向いているとはいえ、ビジネス向けに販売されているSMS送信サービスには多くの種類があり、サービスごとに得意な利用場面も異なります。もしSMS認証を使いたいなら、以下の2つの機能があるサービスを選ぶのがオススメです。

SMS認証機能を使うなら、APIは必須

APIとは「アプリケーションプログラミングインターフェイス」の略で、ソフトウェアの機能を共有する仕組みのことを言います。あるアプリケーションが、その機能を他のプログラムからでも利用できるようにインターフェイスを提供するということです。APIを提供している例として、GoogleMapsやYouTubeなどが有名です。例えば企業のWebサイトにYouTubeの動画が組み込まれている場合は、そのWebサイトはYouTubeAPIを利用して作成されています。

SMS認証の機能を使いたい場合にもAPIを使うことがほとんどです。二段階認証を行う必要があるのはWebサイトやアプリでのログイン・会員登録などのタイミングのため、ほとんどの場合で自社開発のシステムにSMS送信のAPIを組み込む必要があります。
API提供のあるSMS送信サービスであれば、http通信を使ってSMS送信のリクエストをすることで自社システムなどにSMS認証を導入することができます。反対にAPI提供をしていないSMSサービスではSMS認証機能を利用することは難しいため、注意が必要です。

誤送信防止に役立つ、他人接続判定機能

他人接続判定機能は、顧客の電話番号を読み込んで過去の利用履歴と照らし合わせることで、他人の可能性がある電話番号を抽出・アラートしてくれる機能です。 例えば、過去に未利用期間が3か月以上空いている電話番号などは、当初の契約者が携帯電話を解約しており既に別の人物がその番号を利用している可能性があります。同じ電話番号であっても、意図しない人物に対し個人情報などの重要な情報が送信されてしまうことを防ぐために、他人接続判定機能は備わっていた方が安心な機能の一つです。

SMS認証をワンコールで完結できる専用API

メディアSMSが提供している「SMS-OPE.COM」では、ワンタイムパスワードの発行からSMSの配信やIVR連携まで、インターネット上での認証に必要な工程をワンストップで行えるのが特徴です。大手エンタメ会社様でも導入されています。

お客様側で開発が必要な部分はパスワード入力を含む一連の認証画面と照合部分のみ。そのため大幅に開発工数を削減することができます。
万が一SMSが届かなかった場合でも、そのままIVR認証へ誘導。ユーザーに対して認証用の電話を発信したり、ユーザーが指定された番号へ電話をかけることで認証を行えます。また、電話番号の重複を確認し、悪意のあるユーザーが複数アカウントを取得するなどの行為を検閲することも可能です。詳しい仕様についてはこちらのフォームからお問い合わせください。

SMS認証は、Webサイトやアプリでの不正ログインを防ぐなどセキュリティ面に対する不安を解消することができます。また企業としても、そこまで大きなコストをかけずにセキュリティ強化ができ、導入後にユーザーにかかる負担も少ない部分がメリットです。 SMS送信サービスには様々な種類があるため、導入の際はAPI提供の有無や実績などをしっかりと確認し、安心して利用できる事業者を選びましょう。

SMSnavi編集部

株式会社ファブリカコミュニケーションズ SMSnavi編集部。SMS（ショートメッセージサービス）に関する記事を執筆しています。

執筆者について詳しく見る

株式会社ファブリカコミュニケーションズ SMSnavi編集部。SMS（ショートメッセージサービス）に関する記事を執筆しています。

執筆者について詳しく見る