SMS認証とは？セキュリティの強度や導入すべき企業の特徴を解説

SMS認証という言葉は知っていても、どういう仕組みで行われるものなのか、セキュリティにはどの程度期待ができるのかということまで知っている方は少ないと思います。 SMS認証は携帯電話番号宛に発信されるショートメッセージ（SMS）を使った認証方法です。 携帯電話番号は同じ番号が存在しないため、「本人確認」をするのに適しており、なりすましや不正アクセスを防止することができます。 特に会員制のECサイトや金融商材など、個人情報を多く扱う企業は導入すべきです。 ここでは、SMS認証の概要やセキュリティが高い理由、なぜ今必要とされるのか徹底解説します。さらに、導入前に確認しておくことや導入フロー、注意点なども取り上げています。 本記事を読むことで、SMS認証について理解したうえで、活用に向けて動き出せるようになります。 NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード [toc] ※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。

SMS認証とは、携帯電話番号を使ってユーザーを識別する認証方法

近年、企業や店舗でのSMS認証の導入は増加傾向にあり、さまざまなシーンでSMS認証が活用されています。 SMSとは、電話番号を宛先に短いメッセージを送れる「ショートメッセージサービス」のことです。SMS認証では下の図のように、携帯電話番号宛にSMSを送信し、認証を行います。

参考：APIによるSMS送信（お客様のシステムと連携）｜空電(からでん)プッシュ

携帯電話番号は誰かと同じになることはなく、また認証コードも番号と合致した携帯電話の所有者のみに通知されるので、「実際にサービスを利用しているのがその人本人か」を識別するのに適しています。 参考：なりすましや不正ログイン防止に使う「電話番号認証サービス」の選び方

携帯電話番号を使用しているためセキュリティが高い

SMS認証は、携帯の電話番号を使った認証のため、自由に作成可能なメールアドレスよりもセキュリティが高いです。 電話番号を発行するためには、キャリアによる審査が必要で、スマホを持っている本人以外は、SMSを受け取れません。電話番号が流出して不正ログインされても、メッセージを盗み見ることは不可能です。 フリーメールアドレスの場合、ログイン情報がわかってしまうと、簡単に不正アクセスできます。またフリーメールアドレスはネットさえつながっていれば、スマホでも利用できるため大変便利ですが、セキュリティ面において不安があることは事実です。

大量の不正アカウント取得の防止もできる

SMS認証は、アカウントの乗っ取りを防止できるだけではなく、Webサービスのアカウント大量取得を防止する役割もあります。 基本的にSMS認証は、スマホ1台に1つのアカウントしか取得できないため、複数のアカウントを取得できません。同じ人物が大量のアカウントを取得した不正利用を防ぐためにも、SMS認証を導入しましょう。

SMS認証は個人情報を扱う場合には導入するのがマスト

SMS認証は本人確認に最適なサービスなので、個人情報を扱うサービスを提供するのであれば絶対に導入すべきです。 実際に以下のようなアプリ・サービスに導入されています。

• サイトへ会員登録時の本人確認
• アプリダウンロード時の本人確認
• 組織での本人確認
• カード会社のポイント交換
• 金融機関でのログイン　など

SMS認証を使わずに不正アクセスが発生した7payの事例

セブンｰイレブンが展開している「7pay」というスマホ決済サービスでは、SMS認証システムを導入せず、第三者による不正アクセスが発生しました。 被害を受けた人は約800人、被害額は約3,861万円と言われています。 また、「7Pay」の経営トップがSMS認証について知らなかったということも大きな問題となったため、サービス開発を担当している人は、しっかりと理解しておく必要があります。 参考：7payで再認識「2段階認証」セキュリティで重要な理由｜Ascii.jp

SMS認証を導入するための4つのステップ

導入するためのステップは、以下の4つです。

1. SMS配信サービスを契約する
2. 自社システムとSMS配信サービスのAPIを連携する
3. 運用テストを行う
4. 本番稼働

1.SMS配信サービスを契約する

まずは、配信サービスと契約する必要があります。配信サービスはたくさんあり、それぞれのサービス内容や価格などを比較し、自社にあった会社を選びましょう。配信サービスの担当者からヒアリングなどを受け、システム導入に必要な環境・機能を把握し、契約を進めてください。

2.自社システムとSMS配信サービスのAPIを連携する

SMS認証を利用する場合は、現在利用しているシステムとAPIを連携しましょう。そうすれば、自動連携や配信指示を行うことが可能です。 ちなみに、APIは「アプリケーションプログラミングインターフェイス」の略称です。ソフトウェア機能の共有を意味しています。自社システムと配信サービスのAPIを連携する方法がよくわからない人は、配信サービスをしている会社に問い合わせましょう。

3.運用テストを行う

配信サービスと連携した後、運用テストを行い、正しく運用できるのか調整します。ユーザー認証のセキュリティに関わるサービスですので、しっかりと運用テストを繰り返し、適切に稼働できる状態を目指しましょう。

4.本番稼働

運用テストに問題がなければ、いよいよ本番稼働です。本番稼働している間は、運用保守をしながら、SMSサービスを利用します。運用している間に疑問点などがあれば、サービス側に問い合わせ、問題を解決しましょう。

SMS認証を導入する前に確認しておく3つのこと

導入する前に確認しておくことは、次の3つです。

1. どのようにSMS認証を利用するのか明確にする
2. どのSMS送信サービスを利用するのか決める
3. 実際の利用頻度を把握しプランを選ぶ

「良いと評判だから」と簡単に導入を決めるのではなく、導入前に、利用目的やサービス内容などをしっかりとチェックする必要があります。 参考：NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード

1.どのようにSMS認証を利用するのか明確にする

導入する前に、どのようにSMS認証を利用したいのか明確にする必要があります。そうすれば、「どのような機能を使う必要があるのか」「自社の課題は解決できるのか」などを洗い出せ、最適なサービスを選べるでしょう。 SMSを使用することで効果があるのかも、チェックすべきポイントです。その効果は、他社の活用事例を参考にしましょう。自社と同じような特徴を持つ会社の事例を確認することで、導入後のイメージが湧きやすいです。送信サービスが活躍するシーンは、次の通りです。

• 予約や注文内容確認の連絡手段
• サービスの登録やパスワード再発行の本人認証
• 電話がメインの現場での接客補助
• 自社のキャンペーンやプロモーション
• 緊急時の連絡をメールより確実に届ける

ユーザーに「誕生日クーポン」を配信したり、友人を招待するとボーナスがもらえる「友達紹介クーポン」を配信したりして、売上がアップした成功事例は少なくありません。 調剤薬局では、電話からSMS送信に切り替えることにより、調剤薬局で処方した薬を受取りに来る人が増加し、クーポンを送信したり、常備薬が切れる前にリマインダーしたりすることで、リピーターを増やせた成功事例もあります。

2.どのSMS送信サービスを利用するのか決める

どのようにSMSを利用するのか明確にし、その機能を把握したら、どの送信サービスを利用するのか決定する作業を進めます。 機能面でサービスを絞り込むだけではなく、電話番号を扱うことから、SMSサービス事業者が不正侵入検知（IDS）やデータの暗号化保存などのセキュリティ対策を行っているか、送信トラブルが発生した際にサポート窓口が何時まで対応してくれるかなど、チェックをしておきましょう。 送信サービスは、APIを導入するパターンだけではなく、管理画面で利用するタイプもあります。管理画面で利用するタイプは、システムについて知識が乏しい人でも利用しやすいでしょう。運用の負担を減らすための機能もあれば、送り直しなどのリスクも未然に防げます。

3.実際の利用頻度を把握しプランを選ぶ

利用頻度とそれに合ったプランを選定する必要があります。それほど利用しないのにもかかわらず、豊富な機能が揃った高額のプランを導入しても、余計な出費が増えるだけです。 サービスをたくさん活用するのに、少額プランを選ぶこともおすすめできません。そのため、実際に利用する頻度に合わせて、最適なプランのあるサービスを見つけましょう。 SMS送信サービスは数多くありますが、どれを選べばいいかわからないという方は4年連続シェアNo.1の「空電プッシュ」を選ぶと良いでしょう。 空電プッシュは幅広い用途に対応しているサービスです。また、NTTグループが提供するサービスということもあり、信頼性が高いです。 NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード

SMS認証の4つの注意点

SMS認証を利用する前は、その注意点も把握しておきましょう。

• 相手がSMSの受信拒否設定になっていると届かない
• SMS送信サービスのアカウントが不正アクセスされる可能性がある
• 格安スマホではSMSが使用できない場合がある
• ユーザーがスマホを紛失しSMS認証を行えなくなる可能性がある

こうしたSMS認証の4つの注意ポイントを詳しく紹介します。

相手がSMSの受信拒否設定になっていると届かない

大手キャリアにはSMSを拒否できるサービスがあり、相手がSMSの受信拒否設定になっている場合、SMSは届きません。

• すべてのSMSを拒否
• 非通知のSMSだけを拒否
• 海外からのSMSを拒否

こうした種類があり、設定している場合、SMS認証メールが届きません。また、迷惑メールを設定されている場合も、届くことはないです。会社側は、相手がSMSの受信拒否設定になっていると届かないことを認識して、サービスを活用しましょう。 また、国内キャリアのユーザーにメッセージを送りたい場合、海外製の送信サービスを利用して送ると、SMSが届かない可能性があります。 海外製サービスは国際網を通じてSMSを送るため、国内キャリアにメッセージを送信すると、スパムとしてブロックされてしまいます。接続方式が「国内直収接続」であれば、こうした問題は発生しません。

SMS送信サービスのアカウントが不正アクセスされる可能性がある

SMSサービスに不正ログインをされて、個人情報が流出するリスクも無視できません。そのため、サービスを選ぶ際は、実績やセキュリティに関する項目をチェックして、信頼できる企業と契約しましょう。 不正ログインをされて、個人情報が流出してしまった場合、社会的な信用を損なうだけではなく、多額の被害額になってしまう可能性も否定できません。アプリケーション脆弱性対策を行っていたり、なりすまし対策をしていたりするサービスはいくつかあります。

格安スマホではSMSが使用できない場合がある

ドコモやau、ソフトバンクといった大手キャリアであれば、SMSは標準装備されています。しかし、昨今話題の格安スマホの場合、SMSの利用ができないプランも少なくありません。 SMS認証は、スマホを所有するすべての人が利用できる完璧なシステムではないことを認識しておきましょう。そのため、SMS認証以外のサービスを検討する必要もあります。

ユーザーがスマホを紛失しSMS認証を行えなくなる可能性がある

ユーザーがスマホを紛失した場合、SMS認証を行うことはできません。また、スマホをなくすと、一度行った認証を解除することも難しいです。そのため、導入する場合は、音声で確認コードを通知する方法など、予備の方法を用意することが求められます。 NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード

まとめ

SMS認証は、携帯電話番号を使用しているためセキュリティが高く、大量の不正アカウント取得の防止もできるメリットがあります。個人情報を扱う場合には導入することがマストで、活用されるシーンは、実に幅広いです。 そんなSMS認証の導入フローは、配信サービスと契約し、自社システムと配信サービスのAPIを連携し、運用テストを行ってから本番稼働に進むだけです。導入する前は、どのようにSMS認証を利用するのか明確にして、実際の利用頻度を把握してから、プランを選ぶようにしましょう。 送信できるSMSには文字数などの制限があり、相手がSMSの受信拒否設定になっていると届かないデメリットもあります。送信サービスのアカウントが不正アクセスされる可能性があったり、格安スマホではSMSが使用できない場合があったりすることも、デメリットに挙げられます。 こうした注意ポイントを把握しつつ、SMS認証をしっかりと理解して、自社のサービスに活用しましょう。 NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード

本人性の高いSMS認証や、返信率85%以上のSMS一斉送信などの活用方法をご提案します(PR)

NTTコム オンラインが提供する『空電プッシュ』は、携帯電話やスマートフォンのSMS（ショートメッセージ）機能をビジネスの様々なシーンで組み合わせて活用することで、業務効率化、コスト削減、売り上げ向上を実現します。 ビジネスでのご利用シーン

• スマホアプリ利用時の本人認証に
• 自治体から住民への情報配信に
• 料金滞納者に対する督促/請求のご案内に
• 商品配送や訪問の事前連絡やリマインダーに
• コンタクトセンター業務の効率化に
• 重要性/必要性が高いメッセージをより確実に配信
• ビデオを活用したお客さまサポート業務改善に
• 自社の顧客に対するアンケートのご案内に

※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。