SMS認証は携帯電話番号宛に発信されるショートメッセージ(SMS)を使った認証方法です。
携帯電話番号は同じ番号が存在しないため、「本人確認」をするのに適しており、なりすましや不正アクセスを防止することができます。
特に会員制のECサイトや金融商材など、個人情報を多く扱う企業は導入すべきです。
ここでは、SMS認証の概要やセキュリティが高い理由、なぜ今必要とされるのか徹底解説します。さらに、導入前に確認しておくことや導入フロー、注意点なども取り上げています。
本記事を読むことで、SMS認証について理解したうえで、活用に向けて動き出せるようになります。
NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料ダウンロード
目次
SMS認証とは、携帯電話番号を使ってユーザーを識別する認証方法
SMS認証とはユーザーの携帯電話番号宛にSMS(ショートメッセージ)を送って、ユーザーを識別する認証方法です。SMSで4~6桁のコードが送られ、コードを入力することでシステムやサービスにログインできる仕組みのことをいいます。
携帯電話番号は誰かと同じになることはなく、また認証コードも番号と合致した携帯電話の所有者のみに通知されるので、「実際にサービスを利用しているのがその人本人か」を識別するのに適しています。
また携帯電話さえあれば簡単な操作で認証が可能なので、ユーザーにも負担をかけません。
そのため、セキュリティ強化を目的とした「2段階認証」の方法として利用されることが多いです。
実際に以下のようなアプリ・サービスに導入されています。
- サイトへ会員登録時の本人確認
- アプリダウンロード時の本人確認
- 組織での本人確認
- カード会社のポイント交換
- 金融機関でのログイン など
参考:なりすましや不正ログイン防止に使う「電話番号配信サービス」の選び方
SMS認証の仕組み
SMS認証の仕組みは、本人確認が必要な動作(新規アカウント作成など)が発生した場合に、ユーザーが登録した電話番号宛に企業側から認証コードを発行・送付します。
ユーザーは届いた認証コードをログイン画面や登録画面に入力するだけで、本人確認を行うことができます。
企業側のSMS認証の動作
企業側のSMS認証の動作は以下のとおりです。
- ユーザーによるSMS認証の要望に合わせてシステム側で認証コードを発行
- ユーザーが登録した電話番号宛に認証コードを送付
- ユーザーの認証コード入力後に企業側に本人確認完了の通知が届く
- 本人確認が完了次第、認証を完了する
SMS認証を利用する際には、運営しているサービスや自社システムとSMS配信サービスのAPI連携が必要になります。
システムとSMS配信サービスをAPI連携させることで、ユーザーのSMS認証の要望に合わせて認証コードの自動送信や本人確認を行うことができます。
ユーザー側のSMS認証の動作
ユーザー側のSMS認証の動作は以下の通りです。
- ログイン、もしくはサービス登録画面でIDとパスワードを入力する
- SMSの2段階認証のためのコード入力画面で、所有している電話番号を入力して送信する
- 認証コード(4桁や6桁の数字)が記載されたSMSが送信される
- 届いた認証コードを2段階認証のためのコード入力画面で入力する
SMS認証は登録された電話番号に確実に認証コードを届けられます。
ただし、ユーザーのSMS送受信設定で「受信拒否」が設定されている場合や電話番号が間違っている場合は認証コードが届かない可能性があります。
SMS認証のメリット
本人確認の手法としてSMS認証を利用する主なメリットは以下の3点です。
- セキュリティ性が高く、乗っ取り・なりすましを防止しやすい
- ユーザー側への負担が少ない
- 導入が簡単でコストがかからない
セキュリティ性が高く、乗っ取り・なりすましを防止しやすい
SMS認証は携帯電話を所持していないと本人確認ができないので、セキュリティ性が高く、第三者による乗っ取り・なりすましのリスクが少ないです。
フリーのメールアドレスなどと違い、SMSは携帯電話を所持している本人以外はSMSを受け取れません。
また、番号は携帯電話1台につき1つしかないので、IP電話も基本的にはSMSの利用ができません。そのため、複数アカウントの作成による不正防止にも役立ちます。
ユーザー側への負担が少ない
SMS認証はユーザー側に与える負担が少ないです。
ユーザーは自身のスマートフォンに届いたSMSを確認し、その番号を入力するだけで簡単に認証できます。
実際に多くのサービスでSMS認証が取り入れられており、ユーザーもSMS認証に慣れているため、認証方法に戸惑うことも少ないです。
SMSは開封率・到達率が高く、メールのようにフォルダに埋もれてしまうということも少ないので、確認漏れなども起こりづらいです。
導入が簡単でコストがかからない
SMS認証は比較的簡単に導入でき、低コストから始められるため、実施までのハードルが低いです。
SMS認証は、SMS送信サービスを導入して自社システムと連携させるだけで利用できるようになります。生体認証やトークン認証のような専用アプリの開発などは不要です。
SMS一通当たりの送信単価も約8円前後と安く、コストをかけずに始められます。
SMS認証を導入するための4つのステップ
導入するためのステップは、以下の4つです。
- SMS配信サービスを契約する
- 自社システムとSMS配信サービスのAPIを連携する
- 運用テストを行う
- 本番稼働
1.SMS配信サービスを契約する
まずは、配信サービスと契約する必要があります。配信サービスはたくさんあり、それぞれのサービス内容や価格などを比較し、自社にあった会社を選びましょう。配信サービスの担当者からヒアリングなどを受け、システム導入に必要な環境・機能を把握し、契約を進めてください。
2.自社システムとSMS配信サービスのAPIを連携する
SMS認証を利用する場合は、現在利用しているシステムとAPIを連携しましょう。API連携が完了すれば、自動連携や配信指示を行うことが可能です。
API連携の方法は利用しているシステムやSMS配信サービスによって多少の違いはありますが、基本的な連携方法は以下の手順で行います。
- SMS配信サービスへ登録
- 登録したSMS配信サービスでAPIキーとシークレットキーを発行
- APIキーとシークレットキーを自社システムの仕様書に合わせて実装
3.運用テストを行う
配信サービスと連携した後、運用テストを行い、正しく運用できるのか調整します。ユーザー認証のセキュリティに関わるサービスですので、しっかりと運用テストを繰り返し、適切に稼働できる状態を目指しましょう。
4.本番稼働
運用テストに問題がなければ、いよいよ本番稼働です。
本番稼働している間は、運用保守をしながら、SMSサービスを利用します。運用している間に疑問点などがあれば、サービス側に問い合わせ、問題を解決しましょう。
SMS配信サービスを選ぶときの3つのポイント
SMS配信サービスを選ぶ際には以下の3つのポイントを必ずチェックしておきましょう。
- API連携が可能か
- 国内直収接続か
- 大手4キャリアに対応しているか
API連携は可能か
SMS配信サービスを利用するためにはAPI連携が必須になります。
SMS認証のほとんどは会員登録やログイン時に行われます。スムーズに認証コードを発行・送信するためには自社システムとSMS配信サービスのAPI連携が欠かせません。
ほとんどのサービスがAPI連携に対応していますが、念のためベンダーの機能解説ページから確認しておきましょう。
国内直収接続か
SMS送信の到達率を高めるためには、対象のSMS配信サービスが「国内直収接続」を採用しているかを確認しましょう。
SMSの配信は「国内直収接続」か「国際網接続」の2つの方法があります。
国内直収接続とは、SMS配信サービスと国内の携帯キャリアが直接接続してSMSを配信する方法です。一方、国際網接続は海外の回線を使ってSMSを配信する方法を指します。
参考:SMS送信サービスは、国内の直収接続を利用するのが安心 – コラム|SMS送信サービス「空電プッシュ」
国際網接続のSMS配信サービスは国内向けのユーザーにSMSを送信する場合に、大手キャリア側がメッセージをスパム扱いとし、ブロックする可能性があります。
日本国内向けにサービスを提供している企業は必ず「国内直収接続」のサービスを選びましょう。
対応しているキャリアが多いか
対応キャリアの数は必ず確認しましょう。対応キャリアが多い配信サービスほど、多くのユーザーにSMSを送ることができます。
主要の3キャリア(docomo、au、SoftBank)だけではなく、楽天モバイルにも対応しているものを選ぶと良いでしょう。
SMS認証の4つの注意点
SMS認証を利用する際に、以下のような4点に注意しましょう。
相手がSMSの受信拒否設定になっていると届かない
大手キャリアにはSMSを拒否できるサービスがあり、相手がSMSの受信拒否設定になっている場合、SMSは届きません。
- すべてのSMSを拒否
- 非通知のSMSだけを拒否
- 海外からのSMSを拒否
こうした種類があり、設定している場合、SMS認証メールが届きません。また、迷惑メールを設定されている場合も、届くことはないです。会社側は、相手がSMSの受信拒否設定になっていると届かないことを認識して、サービスを活用しましょう。
また、国内キャリアのユーザーにメッセージを送りたい場合、海外製の送信サービスを利用して送ると、SMSが届かない可能性があります。
海外製サービスは国際網を通じてSMSを送るため、国内キャリアにメッセージを送信すると、スパムとしてブロックされてしまいます。接続方式が「国内直収接続」であれば、こうした問題は発生しません。
SMS送信サービスのアカウントが不正アクセスされる可能性がある
SMSサービスに不正ログインをされて、個人情報が流出するリスクも無視できません。そのため、サービスを選ぶ際は、実績やセキュリティに関する項目をチェックして、信頼できる企業と契約しましょう。
不正ログインをされて、個人情報が流出してしまった場合、社会的な信用を損なうだけではなく、多額の被害額になってしまう可能性も否定できません。アプリケーション脆弱性対策を行っていたり、なりすまし対策をしていたりするサービスはいくつかあります。
格安スマホではSMSが使用できない場合がある
ドコモやau、ソフトバンクといった大手キャリアであれば、SMSは標準装備されています。しかし、昨今話題の格安スマホの場合、SMSの利用ができないプランも少なくありません。
SMS認証は、スマホを所有するすべての人が利用できる完璧なシステムではないことを認識しておきましょう。そのため、SMS認証以外のサービスを検討する必要もあります。
ユーザーがスマホを紛失しSMS認証を行えなくなる可能性がある
ユーザーがスマホを紛失した場合、SMS認証を行うことはできません。また、スマホをなくすと、一度行った認証を解除することも難しいです。そのため、導入する場合は、音声で確認コードを通知する方法など、予備の方法を用意することが求められます。
NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料ダウンロード
まとめ
SMS認証は、携帯電話の番号にSMSを送信して本人確認を行う認証方法です。
携帯電話を所有している方のみに送られるため、セキュリティ性が高いです。SMSに送られたコードを記入するだけで本人確認ができるのでユーザーの手間が少なく、SMS配信サービスを導入してAPI接続するだけで始められます。
個人情報を扱ったサービスを展開している場合は導入を検討すべきです。
SMS認証の導入フローは、配信サービスと契約し、自社システムと配信サービスのAPIを連携し、運用テストを行ってから本番稼働に進むだけです。導入する前は、どのようにSMS認証を利用するのか明確にして、実際の利用頻度を把握してから、プランを選ぶようにしましょう。
送信できるSMSには文字数などの制限があり、相手がSMSの受信拒否設定になっていると届きません。送信サービスのアカウントが不正アクセスされる可能性があったり、格安スマホではSMSが使用できない場合があったりすることも、デメリットに挙げられます。
こうした注意ポイントを把握しつつ、SMS認証をしっかりと理解して、自社のサービスに活用しましょう。
NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料ダウンロード
本人性の高いSMS認証や、返信率85%以上のSMS一斉送信などの活用方法をご提案します(PR)
NTTコム オンラインが提供する『空電プッシュ』は、携帯電話やスマートフォンのSMS(ショートメッセージ)機能をビジネスの様々なシーンで組み合わせて活用することで、業務効率化、コスト削減、売り上げ向上を実現します。
ビジネスでのご利用シーン
- スマホアプリ利用時の本人認証に
- 自治体から住民への情報配信に
- 料金滞納者に対する督促/請求のご案内に
- 商品配送や訪問の事前連絡やリマインダーに
- コンタクトセンター業務の効率化に
- 重要性/必要性が高いメッセージをより確実に配信
- ビデオを活用したお客さまサポート業務改善に
- 自社の顧客に対するアンケートのご案内に
※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。
SMS認証に関するよくあるご質問
SMS認証の導入を検討中の方に役立つQ&Aをまとめています。
Q.格安スマホでもSMS認証は使えますか?
A.一部の格安スマホでは、SMS機能が利用できないプランがあるため、確認が必要です。
Q.SMSがユーザーに届かない場合の原因は何ですか?
A.受信拒否設定や迷惑メール設定がされている場合、SMSが届かないことがあります。また、メモリ不足やデータ量の超過、端末の不具合なども原因として考えられます。
詳しくは以下の記事を参考にしてください。
参考:SMSが届かない!考えられる5つの原因とすぐに試すべき対策法
Q.SMS認証の導入に特別な設備は必要ですか?
A.特別な設備は不要で、SMS配信サービスと自社システムをAPI連携させるだけで利用可能です。
Q.SMS認証は海外でも利用できますか?
A.国際網接続を利用するサービスでは海外でもSMSを送信できますが、国内キャリアがスパムとしてブロックすることがあります。そのため、国内直収接続が推奨されます。