SMS認証とは？仕組みや本人確認強化への導入方法

SMS認証とは？仕組みや本人確認強化への導入方法

最終更新日:2022-12-05

2022-12-05T10:04:50+0900

SMS認証とは何かを知っておきたい方や、SMS認証の活用を考えている方へ。SMS認証の仕組みやメリット、導入方法、導入に適したサービスの選び方、おすすめのサービスなどをご紹介します。

SMS認証とは？

SMS認証とは、ユーザーのスマホや携帯電話にSMS（ショートメッセージ）を送信し、そこに記載された一時的な確認コードをWeb上で入力することで、本人確認を正しく行う認証システムです。SMS認証は電話番号で識別して送信することから、電話番号認証とも言われており、インストール不要で誰でも簡単に利用できる点や、開封率の高さなどから、活用が進んでいます。

SMSが使われる理由

SMSが認証システムとして注目され、多くの企業で活用されている主な理由は下記の通りです。

• 普及率が高い（大半の人が所持しているスマホや携帯電話を利用できる）
• なりすまし・不正行為が困難（通信キャリア側で怪しい発信元をフィルタリング）
• 到達率が高い（メールアドレスのように頻繁に変更されない）
• 開封率が高い（SNSの通知や迷惑メールなどに埋もれにくい）

2段階認証の手段としての利用が最も多い

SMSの活用方法として、プロモーションや督促、予約のリマインドなど様々なものがあります。中でも多いのが、本人確認における2段階認証の手段としての活用です。

Webサイトやアプリなどで会員登録する際に、IDやパスワードでの認証だけの設定にしてしまうと、情報が流出してしまった場合に不正ログインされる可能性があります。しかし、SMSであれば登録したスマホや携帯電話を所持している人にしか認証コードが届かないので、なりすましなどの不正アクセスの防止に大きな効果を発揮します。

SMS認証のみのログイン方法もある

Yahoo! JAPANのように、パスワードを使わずにSMS認証のみでログインできるタイプもあります。SMS認証の場合は、たとえばPCなどの別の端末からログインする際にもスマホや携帯電話が必要になりますが、その分セキュリティも強固。安全性を確保したうえで、パスワード管理の手間を省くことも可能です。

SMS認証の際、ユーザー側に必要なもの

SMSは、電話回線契約をしているスマホや携帯電話のほとんどに標準機能として搭載されています。専用の端末を用意したり、アプリやアカウントなどを登録したりする必要もないため、ユーザー側の負担も最小限に抑えることができます。

ただし、ユーザー側にSMS受信環境が整っていない場合は利用することができません。たとえば、SMS未対応の格安スマホ（格安SIM）や、データ通信のみのプランのタブレットやPCを利用している場合などです。また、すべてのSMSを受信拒否設定していないか、あるいは迷惑SMSやURLリンク付きのSMSを受信拒否設定していないかなども、確認する必要があります。

SMS認証向けのSMS送信サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

 

SMS認証の仕組み

SMS認証の仕組みについて、ユーザー側と企業側それぞれの動作の流れからご説明します。企業側がSMS認証を導入する際には、SMS送信サービスを利用するのが一般的です。

ユーザー側の動作

1. ログイン画面でIDとパスワードを入力する
2. SMSの2段階認証の画面で、スマホや携帯電話の電話番号を入力して送信する
3. 認証コード（たとえば4桁の数字）が記載されたSMSが送信される
4. 認証コードをログイン画面で入力する
5. 正しいコードであれば認証完了

認証コードが記載されたSMSは、ユーザーが電話番号を送信すると同時に配信されるのが一般的です。数分経過しても届かない場合には、電話番号の入力ミスやSMSの受信拒否設定をしているなど、ユーザー側に何らかの原因があると考えられます。

企業側の動作

1. ユーザーからSMS認証の要求を受けたら、API経由でSMS送信サービスに送信を要求する
2. SMS送信サービスが認証コードを記載したSMSをユーザーに送信
3. Web上で認証コードが入力されると、API経由でSMS送信サービスから企業側に送達結果が通知される
4. 正しいことが確認されたら認証完了

SMS送信サービスで認証を行うためには、自社システムとのAPI連携が必須です。サービスによってAPI連携の仕様が異なるため、連携可能かどうか確認しておく必要があります。

 

SMS認証のメリット

インターネット上でのサービスやコミュニケーションは、不正アクセスやなりすましの脅威と隣り合わせ。SMS認証は、しっかりとした身元確認を経たうえで付与される「電話番号」を使うので、セキュリティ対策に有効な手段です。ここでは、SMS認証の導入メリットを3つ解説します。

① 本人確認の強化と説明責任の担保

個人情報を預かる場合、セキュリティ対策として本人確認の強化が求められます。特に、金銭がからむ取引や、情報発信の責任などが問われる状況においてはなおさら。ある金融機関では、ユーザーの負担軽減や管理効率を重視するあまり、脆弱な環境でサービス運営をしたことから、決済サービスの撤退を余儀なくされたという事例もあります。

SMS認証を導入して本人確認の強化を徹底することは、説明責任の担保となり、ユーザー離反の抑制にもつながります。

② ユーザーにとってわかりやすい、操作しやすい

多くの人にとって使いやすい本人確認手段である点も、SMS認証の導入メリットです。スマホや携帯電話は誰でも持っていること、SMSは通知に気づきやすく開封率が高いという特長に加え、スマホなどに送信された番号を入力するだけ、と操作も簡単です。SMSの認証方法がわからなくて困るというユーザーはほとんどいないでしょう。

身分証明書コピーの郵送よりも手間がかからないのはもちろん、トークンの所有や生体認証といった方法と比べても、誰でも手軽にできる本人確認手段です。

③ 企業にとって導入・運用しやすい

SMS認証は管理しやすく、他の認証方式よりも導入が容易というメリットも。2段階認証を実施する場合は、既存のIDとパスワードによる本人認証に、SMS認証用のサービスを連携させるだけなので、システムに組み込みやすい方法でもあると言えます。

トークンや生体認証といった認証手段よりも、導入コストやメンテナンスなどの負担が抑えられるのもSMS認証の強みです。

 

SMS認証サービスの導入方法

SMS認証サービスの導入方法を3ステップに分けてご紹介します。

① API連携できるSMS認証サービスを選定

まずは、自社システムとAPI連携できるSMS認証サービスを選ぶことからはじめます。SMS認証の用途でSMS配信サービスを導入する場合においては、必要なタイミングで即時にSMSを送信できる機能が必要です。そのため、会員登録に関する自社システムとAPI経由でシステム連携し、ユーザーごとにすぐにSMSによる確認コード（ワンタイムパスワード）が送信される仕組みを作らなければなりません。

DMやテキストメッセージの一斉送信手段として、各社から数多くのSMS配信サービスが提供されていますが、SMS認証サービスとしての要件を満たしているか、チェックしておきましょう。

② APIで呼び出してSMS送信する機能の実装

利用サービスを選んだら、次は連携機能の実装が必要です。自社所有システムからAPIを通じて、SMS認証サービスにSMS送信を指示する機能の開発・実装が必要です。しかし、ほとんどの場合は詳細な仕様書やサンプルコードが提供されているため、開発の負担は大きくはありません。

導入実績の多いSMS送信サービスのベンダーなら、経験豊富なエンジニアに相談することもできます。技術面で不安点がある場合は、気軽に相談してみましょう。

③ テストを経て運用開始

自社のWebサービスと連携してSMSが送信できていること、確認コードが一定の時間内に有効・無効が制御できていること、遅延なく送信できること、端的にわかりやすいSMSの文面になっていることなどをテストで確認しましょう。そこで不具合がなければ、運用を開始できます。

 

SMS認証導入に適したサービスの選び方

SMS認証サービスを導入するにあたり、留意しておきたい4つのポイントをご紹介します。

① API連携に対応しているか

SMSを認証手段として利用するには、API連携機能が必須。自社の基幹システムとのAPI連携の可否や、どの程度の開発が必要なのかチェックしておきましょう。

また、API連携の無料デモアカウントを提供してくれるサービスもあるため、各社サービスの無料トライアルを利用してみることをおすすめします。

② 遅延対策に向いているか

メール配信と同様に、送信量が多いとSMSが遅延してしまうことも。遅延を起こしたくない場合は、時間あたりのSMS送信量が多いサービスや、優先送信制御など遅延対策をしているサービスを選びましょう。

たとえば、SMS送信サービスの中には、API経由の認証用のSMS送信を優先して送信してくれるサービスがあります。

③ 国内直収型のサービスか

国内回線を介して、国内携帯キャリアと直接接続している「国内直収型」のサービスであることもポイント。国際回線を利用して送信するサービスだと、スパムメッセージとしてブロックされてしまう可能性があるからです。本人確認手段としてSMSを確実に配信するためには、国内直収型のサービスであることが必須です。

④ 対応キャリアの数

ドコモ、au、ソフトバンクの主要3キャリアへのSMS送信に対応していることはもちろん、まだユーザー数は少ないものの、楽天モバイルへの対応可否も意識しておくとよいです。現在対応しているかどうかだけでなく、今後の対応の進みもチェックしておきましょう。

 

SMS認証導入の注意点

SMS認証サービスの導入にあたって、注意点を1つご紹介します。それは、海外のサービスやイリーガルな方法を使って、一時的な電話番号を取得し、SMS認証を突破する手段があるということ。

もちろんフリーメールアドレスの発行ほど簡単ではないため、一般的なユーザーによる悪用は想定されていません。ただ、悪意を持ったユーザーによる不正アクセスの危険性があります。一般的に「SMS認証は本人確認手段として有効」ですが、なりすまし行為によって多大な金銭的被害に直結するような事業・サービスの場合は、物理デバイスであるトークンと併用するなど、他のセキュリティ対策も取っておくべきです。

本人確認をオンライン上で自動的に行う仕組みであるeKYCソリューションも注目のサービスです。eKYCソリューションに関しては、「eKYCサービスの比較！導入に適したタイプはどれか？」で詳しくご紹介しています。

 

主なSMS認証サービス

SMS認証向けのおすすめのSMS送信サービスを9つご紹介します。

空電プッシュ（NTTコム オンライン）

（出所：空電プッシュ公式Webサイト）

国内主要4キャリアとクローズドなネットワークを構成している、国内直収接続のSMS送信サービス。NTTグループのセキュリティ部門との連携によって強固なセキュリティを実現しているため、大手金融機関はじめ、多くの企業で導入されている。監査サーバを設置し、作業内容を動画で記録することにより、内部不正防止にも役立てられる。
自社のシステムとのAPI連携による送信が可能。IVRと連携し、音声ガイダンスにあわせてSMSを送る機能もあり。

• 料金：要問い合わせ

SMSLINK（株式会社ネクスウェイ）

（出所：SMSLINK公式Webサイト）

金融や人材派遣、小売など1,000社以上で導入されているSMS送信サービス。業界最安値クラスの1通8円から利用可能。Fintech業界での本人確認の認証サービスを含め、30年間で11,000法人以上への情報通信インフラを提供してきたノウハウが活かされている。
API連携機能とともに、短期間で開発しやすいように複数言語のドキュメントを提供し、開発しやすい環境を整えている。サービス画面から送信指示をするWebタイプも用意。国内キャリア直収。

• 料金：8円/通〜　※従量料金は月間送信通数によって異なる

メディアSMS（株式会社メディア４ｕ）

（出所：メディアSMS公式Webサイト）

導入実績4,000社以上のSMS送信サービス。国内主要4キャリア直接接続することで到達率99.9％を実現している。CRMなど外部システムとのAPI連携に長けているところが強み。CSVデータを抽出・作成する手間を省いて、効率的なSMS認証が可能に。状況に応じてIVR（自動音声応答）で本人認証を行う補完機能も実装しているため、SMS受信を拒否設定しているユーザーや固定電話番号にも対応。キャリアやデバイスを問わず、本人認証を行うことができる。

• 料金：要問い合わせ　※従量課金制

Cuenote SMS（ユミルリンク株式会社）

（出所：Cuenote SMS公式Webサイト）

月間70億通の配信実績を持つメール配信システム「Cuenote FC」の開発・提供実績を活かしたSMS送信サービス。安定したサービス基盤から、高速・確実なSMS配信を実現している。国内主要４キャリア直収方式。オプションでユーザーから返信を受け取れる、双方向SMSに対応している。
API接続による自動連携・配信指示にも対応。開発が容易なRESTful APIを標準で搭載し、本人認証などのシステム連携が容易に行える。

• 料金：〜12円/通　※従量料金は月間送信通数によって異なる

SMS HaNa（日本テレネット株式会社）

（出所：SMS HaNa公式Webサイト）

使い勝手にこだわったSMS送信サービス。国内4キャリア直収方式で、到達率99％以上を実現している。顧客の基幹システムとのAPI接続連携が可能。1時間で10万通のSMSが配信できるほか、誤送信防止機能も搭載している。アプリをダウンロードすることなく双方向コミュニケーションが可能となる、チャットサービスの機能は特許取得。
メッセージに記載した短縮URLを「いつ・誰が・何回クリックしたか」を追跡できる、マーケティング施策向けの機能も。

• 料金：8円/通〜　※従量料金は月間送信通数によって異なる

SMSコネクト（株式会社アクリート）

（出所：SMSコネクト公式Webサイト）

15年以上にわたってSMS事業を展開し、大規模サービスを中心に多くの導入実績を持つ、国内4キャリア直収方式のSMS送信サービス。API接続送信対応。SMSを受信できない電話番号を認証するためのIVRと連携したサービス展開も強みで、企業側システムからのリクエストに応じて、ユーザーに発信して認証番号を読み上げることや（IVR発信）、ユーザーの電話番号から着電した際に、企業側システムと連携して、認証番号を読み上げる（IVR着電）ことが可能。
直感的に操作できるWeb管理画面からメッセージの作成・送信ができるので、誰でも簡単にSMS送信業務ができる。

• 料金：要問い合わせ

KDDI Message Cast（Supership株式会社/KDDI株式会社）

(出所：KDDI Message Cast公式Webサイト)

国内4キャリア直収方式、24時間365日の監視体制のSMS送信サービス。自社の運用に合わせて、入稿ポータルと既存システムとのAPI連携の2つの配信タイプを利用できる。配信シナリオの作成も簡単だ。標準でユーザーとの双方向コミュニケーションに対応しているのも特徴。
オプションの誤配信防止機能を利用することで、配信先の電話番号が解約、ユーザー変更されている可能性を事前に確認し、間違ったユーザーへのメッセージ配信を防止できる。

• 料金：要問い合わせ

FourS Message（株式会社りーふねっと）

(出所：FourS Message公式Webサイト)

1通最大8円、通数が多くなるほど1通あたりの配信料が安くなる、業界最安値水準のSMS送信サービス。安さが売りだが、docomo、au、SoftBank、Rakutenの4キャリアに直接接続しており、確実にSMSを届けられるのもポイント。API連携が可能で、導入企業のシステムからSMSを送信することができる。SMSによる2段階認証にはオプションで対応しており、認証結果はAPI連携によりワンストップで取得が可能。

• 料金：～8円/通（月額最低利用料1,000円）

i-Macss（株式会社クロノス）

(出所：i-Macss公式Webサイト)

1通8円～利用できる、国内主要4キャリアに接続可能なSMS配信サービス。ISMS認証を取得した高セキュリティなプラットフォームを採用。配信方法は、管理画面から配信したいデータをCSV ファイル形式でアップロードすることでリストを登録し、任意のタイミングでメッセージを送信するだけ。API連携による配信も可能で、ユーザーの特定行動をもとにメッセージを自動配信できるため、本人認証やIVR送信で利用することができる。
そのほか、660字までの長文配信、配信停止希望者向けの受信拒否設定、SMS本文内に記載するURLの短縮など、充実した基本機能を搭載。サービス提供10年以上の豊富な配信実績を活かしたサポート体制も魅力で、運用方法からアフターフォローまで安心して任せることができる。

• 料金：8円/通〜、初期費用15,000円

 

まとめ

本人確認、2段階認証の確認手段として、SMS認証を選ぶべき理由、導入方法、導入に適したサービス、注意点、おすすめのサービスなどをご紹介しました。多くのユーザーが利用できる本人確認方法として、自社サービスのセキュリティ強化、顧客満足度向上に役立てられることをお分かりいただけたと思います。

本記事でご紹介した比較ポイントや注意点を参照しつつ、各社の提供する無料トライアルを利用するなどして、自社にあったSMS認証導入を検討してみてください。

SMS認証向けのSMS送信サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

 

インタビューやサービス詳細はこちら