「SMS認証」とは?認証機能の仕組みとメリット

近年、Webサービスやアプリのセキュリティ強化のために「SMS認証」を導入する企業が増加しています。言葉を聞いたことはあるものの、具体的にはどういったものなのかよく分からない、という人は多いのではないでしょうか?
自社サービスのセキュリティについて考えるなら、SMS認証は是非知っておきたい方法の一つです。今回は、SMS認証の仕組みやメリット、使い方について解説します。

SMSを使った認証はどのように行う?

SMSを使った認証はどのように行う?

そもそもSMS(ショートメッセージサービス)とは、電話番号を宛先として短いメッセージを送るサービスのことです。SMS認証は、SMSを個人間の連絡手段としてではなくユーザを認証するために利用しており、特に二段階認証を行うために使われることが多くあります。

SMS認証(二段階認証)の一般的な流れ

SMS認証の方法として一般的なのは、サービス上でのログインを行う際に「ワンタイムパスワード」をSMSでユーザに送り、そのパスワードをフォームなどで入力することで本人確認を行うというものです。
ワンタイムパスワードとは、アプリなどへの不正ログインを防ぐ仕組みの一つです。ログインに必要な情報がIDとパスワードのみの場合、もし他者にそのデータが渡ってしまうと簡単に不正ログインができてしまいます。そこで通常のIDとパスワードに加えて、登録されている携帯電話番号に一時的に有効なパスワード(ワンタイムパスワード)をSMSで送信し顧客に入力してもらうことで、二重の認証を行います。
ワンタイムパスワードは一度しか使用できず、一定時間ごとにまた別の新しいパスワードに更新されます。この仕組みを使って本人以外からの不正ログインを防いでいるのが、「SMS認証」の仕組みです。

なぜSMSが認証に使われるのか?

SMSが二段階目の認証として使われている理由は、携帯電話番号を利用しておりセキュリティ的に強いためです。
Gmailなどのフリーメールアドレスは、インターネットさえ繋がっていればPCでもスマートフォンでも利用できるためとても便利です。しかし他者にログイン情報が渡ってしまえば簡単に不正ログインできてしまうため、二段階認証で使用するにはセキュリティ面で不安が大きいツールといえます。
一方で携帯電話番号は、発行するためにキャリアによる審査が必要なので不正取得をすることが難しく、また携帯電話本体を持っている本人しかSMSを受け取ることはできません。仮に携帯電話番号が流出してしまったとしても、不正ログインしてSMSを盗み見ることはできないため、より確実に本人確認を行うことが可能です。そのため、SMS認証が本人確認のために広く利用されているのです。

加えて、SMS認証はコストが低いというメリットがあります。SMS自体の送信単価が安いためコスト面での負担を減らすことができ、かつセキュリティを強化することもできるため、導入する企業としてもメリットが多い認証方法といえます。

SMS認証に適したSMS送信サービスを選ぼう

SMSが二段階認証に向いているとはいえ、ビジネス向けに販売されているSMS送信サービスには多くの種類があり、サービスごとに得意な利用場面も異なります。もしSMS認証を使いたいなら、以下の2つの機能があるサービスを選ぶのがオススメです。

SMS認証機能を使うなら、APIは必須

APIとは「アプリケーションプログラミングインターフェイス」の略で、ソフトウェアの機能を共有する仕組みのことを言います。あるアプリケーションが、その機能を他のプログラムからでも利用できるようにインターフェイスを提供するということです。APIを提供している例として、GoogleMapsやYouTubeなどが有名です。例えば企業のWebサイトにYouTubeの動画が組み込まれている場合は、そのWebサイトはYouTubeAPIを利用して作成されています。

SMS認証の機能を使いたい場合にも、APIを使うことがほとんどです。二段階認証を行う必要があるのはWebサイトやアプリでのログイン・会員登録などのタイミングのため、ほとんどの場合で自社開発のシステムにSMS送信のAPIを組み込む必要があるからです。
API提供のあるSMS送信サービスであれば、http通信を使ってSMS送信のリクエストをすることができ、自社のシステムなどにSMSを組み込んで導入することが可能になります。逆に言えば、API提供をしていないSMSサービスではSMS認証機能を利用することは難しいため、注意が必要です。

誤送信防止に役立つ、他人接続判定機能

他人接続判定機能は、顧客の電話番号を読み込んで過去の利用履歴と照らし合わせることで、他人接続の可能性がある電話番号を抽出・アラートしてくれる機能です。
例えば、過去に未利用期間が3か月以上空いている電話番号などは、当初の契約者が携帯電話を解約しており既に別の人物がその番号を利用している可能性があります。同じ電話番号であっても、意図しない人物に対し個人情報などの重要な情報が送信されてしまうことを防ぐために、他人接続判定機能はあったほうが安心な機能の一つです。

SMS認証は、Webサイトやアプリでの不正ログインを防ぐなどセキュリティ面に対する不安を解消することができます。また企業としても、そこまで大きなコストをかけずにセキュリティ強化ができるというメリットもあります。
SMS送信サービスには様々な種類があるため、導入の際はAPI提供の有無や実績などをしっかりと確認し、安心して利用できる事業者を選びましょう。