近年、WEBサービスやアプリなどでの本人確認のために、IDとパスワードを使ったログイン情報だけではなくSMS認証を追加して二段階認証を行い、セキュリティを強化する企業が増えています。しかしSMS認証という言葉を聞いたことはあるものの、具体的にはどういったものなのかよく分からない、という人も多いのではないでしょうか? 自社サービスのセキュリティについて考えるなら、SMS認証は是非知っておきたい方法の一つです。今回は、SMS認証の仕組みやメリット、使い方について解説します。
SMS認証とはどのように行われるのか
SMS認証(二段階認証)の一般的な流れ
SMS認証の方法として一般的なのは、
- システム側で「ワンタイムパスワード」発行
- ワンタイムパスワードを記載したSMSをユーザに送信
- ユーザにワンタイムパスワードをフォームなどへ入力してもらう
という流れです。このワンタイムパスワードとは、有効期限があり1回しか使えないパスワードのこと。例えばログインに必要な情報がIDとパスワードのみの場合、そのデータが他者に渡ると簡単に不正ログインができてしまいます。そのため追加でワンタイムパスワードを発行し、登録されている携帯電話番号を使ってSMSで送信し顧客に入力してもらうことで、本人以外からの不正ログインを防ぐことができます。
SMSが本人認証に利用されている理由
SMSが二段階目の認証として使われている理由は、携帯電話番号を利用しておりセキュリティ的に強いためです。 Gmailなどのフリーメールアドレスは、インターネットさえ繋がっていればPCでもスマートフォンでも利用できるためとても便利。しかし他者にログイン情報が渡ってしまえば簡単に不正ログインできるため、二段階認証で使用するにはセキュリティ面で不安が大きいツールといえます。 一方で携帯電話番号は、発行するためにキャリアによる審査が必要なので不正取得をすることが難しく、また携帯電話本体を持っている本人しかSMSを受け取ることはできません。仮に携帯電話番号が流出しても、不正ログインしてSMSの内容を盗み見ることはできないため、より確実に本人確認を行うことが可能です。
加えて、SMS認証はコストが低いというメリットがあります。SMS自体の送信単価が安いためコスト面での負担を減らすことができ、かつセキュリティを強化することもできるため、導入する企業としてもメリットが多い認証方法といえます。
SMS認証のメリット・デメリット
主な認証の種類は「知識」「所有」「生体」の3つ
セキュリティを高めるために導入される認証ですが、大きく分けて3つの種類があります。例えば、ログイン時に多いIDとパスワードの入力は「知識認証」の1つ。知識認証とは、記憶している情報を元に行う認証のことです。ここで必要となるのは本人が記憶している情報のみなので、ログインに関する情報が流出した場合、乗っ取りなどが可能となります。
一方で、スマートフォンなどでも導入されている指紋認証や顔認証は「生体認証」に分類されます。生体認証では自分の身体の一部がログイン情報となるため、記憶しておく必要はありません。そのため認証にかかるタイムラグが少ないのがメリット。ただし、身体情報の読み取り装置にかかる導入コストが高い部分が懸念点です。
| 特徴 | 認証方式の例 | |
|---|---|---|
| 知識認証 | ログインに必要な情報を覚えておく必要がある 知っていれば誰でもログインできる |
IDとパスワード PIN番号 合言葉 |
| 所有物認証 | 認証時に使用するデバイスを常に所有しておく必要がある 所有している人だけがログインできる |
SMS認証 電子証明書 ボイスコール |
| 生体認証 | 身体の一部を認証に利用するので、記憶や所有の必要がない 導入コストが高い |
指紋認証 虹彩認証 静脈認証 |
SMS認証は所有物認証の1つ
SMSは受信するために携帯電話が必要となるため、認証の区分としては所有物認証となります。所有物認証ではその名の通り、所有しているものがパスワードになる認証方法のことです。所有物認証のメリットとしては、ログイン情報を記憶しておく必要がないことが挙げられます。一方でデメリットは、所有していればログインできるため、盗まれた際に不正ログインされる可能性があることです。知識認証と合わせて利用されることも多く、どちらか一方が流出または盗まれても不正ログインは不可能なため、よりセキュリティを高めることができます。
導入コストは認証方式によって異なりますが、SMS認証は比較的安いのが特徴。SMS認証を提供しているサービスの中には、初期費用が0円のものもあるため、SMSの送信にかかる料金のみで実装できる場合もあります。また、ユーザ側で所有してもらうのは自分の携帯電話だけで良いため、負担が少ないのもメリットです。
SMS認証を導入する際に確認しておくべきこと
SMSが二段階認証に向いているとはいえ、ビジネス向けに販売されているSMS送信サービスには多くの種類があり、サービスごとに得意な利用場面も異なります。もしSMS認証を使いたいなら、以下の2つの機能があるサービスを選ぶのがオススメです。
SMS認証機能を使うなら、APIは必須
APIとは「アプリケーションプログラミングインターフェイス」の略で、ソフトウェアの機能を共有する仕組みのことを言います。あるアプリケーションが、その機能を他のプログラムからでも利用できるようにインターフェイスを提供するということです。APIを提供している例として、GoogleMapsやYouTubeなどが有名です。例えば企業のWebサイトにYouTubeの動画が組み込まれている場合は、そのWebサイトはYouTubeAPIを利用して作成されています。
SMS認証の機能を使いたい場合にも、APIを使うことがほとんどです。二段階認証を行う必要があるのはWebサイトやアプリでのログイン・会員登録などのタイミングのため、ほとんどの場合で自社開発のシステムにSMS送信のAPIを組み込む必要があります。 API提供のあるSMS送信サービスであれば、http通信を使ってSMS送信のリクエストをすることで自社システムなどにSMS認証を導入することができます。反対にAPI提供をしていないSMSサービスではSMS認証機能を利用することは難しいため、注意が必要です。
誤送信防止に役立つ、他人接続判定機能
他人接続判定機能は、顧客の電話番号を読み込んで過去の利用履歴と照らし合わせることで、他人接続の可能性がある電話番号を抽出・アラートしてくれる機能です。 例えば、過去に未利用期間が3か月以上空いている電話番号などは、当初の契約者が携帯電話を解約しており既に別の人物がその番号を利用している可能性があります。同じ電話番号であっても、意図しない人物に対し個人情報などの重要な情報が送信されてしまうことを防ぐために、他人接続判定機能は備わっていた方が安心な機能の一つです。
SMS認証は、Webサイトやアプリでの不正ログインを防ぐなどセキュリティ面に対する不安を解消することができます。また企業としても、そこまで大きなコストをかけずにセキュリティ強化ができ、導入後にユーザーにかかる負担も少ない部分がメリットです。 SMS送信サービスには様々な種類があるため、導入の際はAPI提供の有無や実績などをしっかりと確認し、安心して利用できる事業者を選びましょう。
現在メディアSMSでは、最大2か月100通分のSMSが送信可能な無料トライアル受付中!管理画面にある全ての機能をお試しいただけます。まずはメディアSMSの強み・機能・活用事例をご覧ください。
