SMS認証とは？仕組みや導入方法・本人確認の重要性・メリット

SMS認証とは？

SMS認証とは、ユーザーの携帯電話にSMS（ショートメール）を送信して、そのメールに記載されているコードをWebサイトやアプリで入力することにより、本人確認を行う手法です。なお、このコードは一時的に有効で一定の時間が経過したり、一度入力されたりすると無効となるので、システムにログインするたびにSMS認証は必要です。

通販サイトやSNS、業務用システムなど業種・業界問わずにさまざまなシステムへのログイン方法として普及しています。

なぜSMS認証が必要なのか

インターネットの普及、技術の発展に伴いセキュリティ対策、不正アクセス防止は重要な社会問題になっています。不正ログインが発生するとユーザーが被害を受けるだけではなく、被害対応をしたり、被害者救済に金銭を消費したり企業側もさまざまな損害を受けます。

企業側はシステムにログインする際に2段階認証を導入してセキュリティ強度を高め、不正ログインを排除しようとしています。

2段階認証の手段としてSMS認証が注目を集めています。

SMS認証が使われる理由

2段階認証の手段としてはSMSだけではなく、音声通話、トークン、特定のアプリ、セキュリティーキーを使用したUSBメモリなどさまざまなものがあります。

その中でもSMS認証が注目を集めている理由が、そのセキュリティの高さと導入の容易さです。

SMS認証には携帯電話を使用します。そして、多くの人は携帯電話を常に所有しています。遠隔で携帯電話のSMSに届いた確認コードをハッキングして読み取るのも困難です。携帯電話に届いたコードをシステムに入力するだけなのでユーザー側の手間もほとんどありません。

よって、他の2段階認証の手法よりも利便性が高いのでSMS認証が使われています。

SMS認証の仕組み

SMS認証の仕組みをユーザー側・サービス提供者側の両方の視点から解説します。

ユーザー側の動作

1. ログイン画面でID・パスワードを使って1段階目の認証を実施する
2. 2段階目の認証画面であらかじめ登録している携帯電話に確認コードを送信する
3. 携帯電話に届いた確認コードに関するSMSを確認する
4. 確認コードを2段階目の認証画面に入力する
5. コードが正しければ無事にログイン完了

まれにSMSがすぐに届かない場合はあります。そういった場合は再度確認コードの送信手続きを実施します。電話番号の入力ミスやSMSの受信設定によっては確認コードが届かないこともあります。

サービス提供者側の動作

1. ユーザーからのSMS認証の要求を受け、API経由でSMS認証サービスに確認コードの送信要求をする
2. SMS認証サービスが確認コードを登録されている携帯電話に送信する
3. ユーザーが入力した確認コードのチェック結果をSMS認証サービス側から受け取る
4. 正しければ2段階目の認証を完了してユーザーをログイン状態にする

基本的には外部のSMS認証サービスの認証機能を使って認証作業を行います。よってAPI連携によって自社システムとSMS認証サービスを連携させなければなりません。認証自体はシステム側ですべて完結するので人の手は必要ありません。

SMS認証を活用するメリット

SMS認証の導入によって得られるメリットは次のとおりです。

• セキュリティを強化できる
• 同一人物の大量アカウント取得を発見できる
• 導入のハードルが低い

SMS認証を活用することにより、セキュリティの強化や同一人物による大量アカウントの取得早期発見など、さまざまなメリットを得られます。

セキュリティを強化できる

セキュリティを強化できるのがSMS認証のメリットです。1段階の認証だけは不正ログインが発生する確率は高く、何かトラブルがあった際も、システム側のセキュリティ問題と運営会社側の責任を追及される可能性もあります。

こうした事態を防ぐために、SMS認証を利用した2段階認証の仕組みを導入し、セキュリティを強化しておく企業が増えています。

同一人物の大量アカウント取得を発見できる

同一人物が大量のアカウントを取得した際にもSMS認証であれば簡単に発見できます。SMS認証を行えば携帯電話番号とWebサイト、アプリの会員データが紐づくので携帯電話番号をチェックすれば、誰がどのアカウントを所持しているかが明確です。

とくに複数アカウントを使えば利益を得られる、割引を受けられるといったWebサイト、アプリの場合は一人による大量アカウント作成を禁止、監視していなければ企業側に大きな損失が発生する可能性もあります。

こうしたリスクを未然に防ぐためにもSMS認証は必要です。

導入のハードルが低い

さまざまな2段階認証の仕組みの中でもSMS認証は導入のハードルが低い認証方法です。

SMS認証に必要な携帯電話は多くのユーザーが常に所有し、操作方法もシンプルです。また、API連携でシステムとつなげるだけで導入できるので、ゼロから認証の仕組みを開発する必要もありません。

他の認証方法と比較してもユーザー、サービス提供会社ともに導入のハードルは比較的低めです。

---

＼【DL限定特典】SMS送信サービスの比較表付き／

＞＞SMS送信サービスの比較表を見る

SMS認証を活用するデメリット

SMS認証にはさまざまなメリットがある一方で、次のような問題点もあります。

• SMSを受信拒否設定にしているユーザーには届かない
• 一部の格安スマートフォンでは対応していないケースもある

SMSを受信拒否設定にしているユーザーには届かない

SMSを受信拒否設定にしているユーザーはSMS認証をできない場合があります。

ユーザー側が拒否設定にしているのを自覚している場合は、解除を促すだけで解決します。一方で、解除設定になっていることも、その解除の仕方も知らないユーザーの場合は、SMS受信拒否設定を解除するのは困難です。

一部の格安スマートフォンでは対応していないケースもある

受信拒否設定にしていなくても一部の格安SIMの場合は、そもそもSMS自体が利用できないケースもあります。ドコモやau、ソフトバンクのような大手キャリアのサービスにはSMSが標準搭載されています。一方で、格安SIMの場合はSMSを利用できないプランになっていることがあります。

こういった場合は、格安SIMのプランやキャリアを変更しなければSMS認証を使用できません。とはいえ、日本国内の携帯キャリアのシェアを考慮すると、多くの場合はSMS認証が使用できます。

SMS認証の導入方法

SMS認証サービスは契約すればすぐに使用できるといった類のものではありません。自社サイト、アプリとAPIで連携させてはじめて効果を発揮します。SMS認証の導入は次の3つのステップで進めるとスムーズです。

1. 自社サービスと連携できるSMS認証サービスを選ぶ
2. APIを使ってSMS送信機能を実装する
3. テストを行い運用スタートする

それぞれの流れについて説明します。

自社サービスと連携できるSMS認証サービスを選ぶ

SMS認証サービスと自社サービスが連携できなければ意味がないので、連携できそうかは最初に確認します。API連携できるシステムであれば、開発の負担・期間も短縮できるのでAPI連携ができるサービスを選ぶ方が無難です。

APIを使ってSMS送信機能を実装する

API連携ができるシステムであれば、開発コスト・時間は削減できますが、それでも自社側での開発は必要になります。大抵の場合はSMS認証サービスの提供会社からAPI仕様書やサンプルコードをもらって、それを元に自社サービス側の開発を実施します。

なお、API仕様書の開示には秘密保持契約を交わすことも求められるケースもあるので、余裕を持った契約・開発スケジュールが必要です。

テストを行い運用スタートする

SMS認証サービスと自社サービスを連携できたら、テストを実施します。

テストを行うべきは、SMS認証が自社サービスの中で正常に動作しているかだけではありません。ユーザーにとってわかりやすく案内されているか、認証に遅延はないか、認証コードが一定期間で無効になるか、SMSに関する窓口は機能しているかなども確認してください。

SMS認証サービスの選び方

SMS認証サービスを選ぶ際は次の4つのポイントをもとに導入すべきサービスを選定するべきです。

• API連携に対応しているかをチェックする
• 対応キャリアの範囲をチェックする
• 国内直収型のSMS認証かを確認する
• セキュリティ・遅延対策の内容を確認する

各チェックポイントについて詳しく説明します。

API連携に対応しているかをチェックする

一番重要なのは、自社のシステムと導入を検討しているSMS認証サービスがAPI連携できるかを確認することです。API連携ができなかったり、開発のハードルが高かったりすると、良いSMS認証サービスだったとしても導入できません。

必要に応じてSMS認証サービスを提供している企業と打ち合わせて、サンプルコードや仕様書を入手する必要があります。

対応キャリアの範囲をチェックする

対応キャリアの範囲もチェックすべきです。ドコモ、au、ソフトバンクなど主要3キャリアについては多くのSMS認証サービスが対応しています。ただし、最近誕生した楽天モバイルには対応していない可能性もあります。

主要3キャリアに対応さえしていれば、ほとんどのケースで問題ありませんが、対応キャリアの範囲が気になる場合は念のためにチェックしておくねきです。

国内直収型のSMS認証かを確認する

SMS認証サービスには国内のキャリアに直接接続する国内直収型と、海外の通信網を経てSMSを送信する国際網接続型の2種類の方法があります。

国内ユーザー向けのWebサイト・アプリの場合は、国内直収型のSMS認証を使うのが一般的です。国際網接続型はSMSの送信コストが安い半面、ユーザーからの受信拒否設定でフィルタリングされたり、キャリアに弾かれたりする可能性があるからです。

セキュリティ・遅延対策の内容を確認する

サービス提供会社が実施しているセキュリティ・遅延対策の内容も確認するべきです。

SMS認証サービス側から情報漏洩すれば、SMS認証を導入した意味がありません。また、遅延対策を行っていないとスムーズなSMS認証ができずにユーザビリティが低下する可能性もあります。

事業者側の対策だけではなく、Webサイト・アプリに導入する際にもセキュリティの穴はないか、SMS送信が遅延していないかはテストしておくべきです。

おすすめのSMS認証サービス

SMS認証サービスにはさまざまなサービスがありますが、その中でもおすすめのSMS認証サービスを紹介します。

＼【DL限定特典】SMS送信サービスの比較表付き／

• 金融・保険といった高いセキュリティが求められる業界にも導入実績あり
• 情報通信サービスにおける30年の実績
• 高品質の国内キャリア直収接続

SMSLINKは、株式会社ネクスウェイが提供しているSMS配信サービスです。同社はFAX、メール、電話などの通信インフラを30年以上にわたって提供してきた企業です。

SMSLINK自体も金融・保険といった高度なセキュリティが求められる業界での、二要素認証としての導入実績があります。国内網を利用して携帯キャリアと直接接続しているので高い到達率と安定性を誇っています。

• APIで既存システムと用意に連携できる
• 2,500万会員のSMS認証を安定稼働させた実績あり
• 電話・メールで丁寧なサポートを実施

Cuenote SMSは、ユミルリンク株式会社が提供しているSMS配信サービスです。2,500万人の会員を擁する株式会社サイバーエージェントのサービスにおいて、SMS認証として活用されたこともあり、大規模ユーザーに対するSMS認証も安定して実施できます。

開発容易なRESTful APIを標準搭載しているので、SMSによる本人認証・重要な通知・IVRでの音声通知・双方向SMSなど、あらゆるメッセージ自動化に対応できます。

• SMS到達率は99%、大規模案件でも遅延なく送信可能
• 24時間365日の有人監視体制による高い可用性
• NTTのセキュリティ専門機関「NTTCERT」と連携

空電プッシュは、SMS配信システムとして到達率、配信能力ともに申し分ないことはもちろん、可用性、セキュリティともに優れたSMS送信サービスです。

契約者以外のGIPアドレスアクセス制限やWAF導入をしており、FISC安全対策基準準拠に則った運用をされています。また、耐震性能、防犯が施された国内データセンターでデータは管理、監視サーバーや居室の監視カメラを導入しているので物理的にも安全です。

• 配信時に他人判定を行う、誤配信防止オプションが使用できる
• 初期費用、月額費用、最低保証金額がなく、導入時負担なし
• ＋メッセージの配信にも対応

KDDI Message Castは、大手キャリアのKDDI株式会社がサービス提供に関わっているSMS配信サービスです。従量課金の料金体系なので、SMS認証の件数が少ない企業でも安心して導入できます。

配信先の電話番号の履歴から他人が利用している可能性を判定し、他人が使用している可能性がある場合は配信を行わない、誤配信防止機能も使用できるのでセキュリティ面でも安心です。

• 2段階認証用の認証コード生成・SMS配信・認証結果取得までをAPI連携でワンストップ提供
• 送信に成功した分だけ課金の料金体系
• 通信事業とインターネット事業で培ったノウハウを活かしたシステム・運用体制

FourS Messageは、初期費用0円、サポート費用0円で送信に成功した分だけの課金制で利用できるSMS配信サービスです。

2段階認証をシステムに実装するにあたって、認証コード生成・SMS配信・認証結果取得をAPI連携で処理できるので、システム開発に必要な工数も削減できます。

• 管理者・ユーザーで付与する権限を変更できる
• オプションで誤送信防止機能を使用できる
• プライバシーマーク、ISMSといった第三者認証を取得

SMS HaNaは、同じID内で管理者とユーザーの設定が可能で、ユーザーが閲覧できる情報を制御できるので情報漏えいを防止できるSMS配信サービスです。

初期費用、月額基本料0円の送信数に応じた料金体系で利用できます。また、最大2か月、3,000通が無料で使用できる、フリートライアルプランがあるのでシステムの操作感を確かめてからの導入が可能です。

---

次の記事では、おすすめのSMS送信サービスを紹介しています。各サービスの料金や機能、口コミ評価の比較表やツール導入の失敗しない選び方などを紹介しているので、サービス導入を検討している方は、ぜひ参考にしてください。

SMS認証サービスを活用してセキュリティを強化する

SMS認証サービスは、セキュリティの強化、導入の容易さといったメリットがあり、Webサイトやアプリのセキュリティを向上させたい企業におすすめのサービスです。選定の際は次のように目的を決めてからツールを選ぶのをおすすめします。

• API連携に対応しているかをチェックする
• 対応キャリアの範囲をチェックする
• 国内直収型のSMS認証かを確認する
• セキュリティ・遅延対策の内容を確認する

SMS認証サービスをより深く検討したい方は、サービス資料を請求し比較するとよいでしょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}