1. HOME
  2. SMS
  3. 事業者向け!SMS認証は安全に本人確認の質を高めることはできるのか
SMS

事業者向け!SMS認証は安全に本人確認の質を高めることはできるのか

SMS, 認証

「ログイン/認証時にIDを入力したら、携帯電話のSMSに確認用コードが送信された」という経験はありませんか?
この本人確認の方法をSMS認証といいます。

SMS認証は近年多くの企業から使われるようになりました。
理由は、従来から使われていた固定パスワードの安全性が懸念されるようになったからです。

SMS認証は固定パスワードに対し、一般的に安全性が高く顧客にとっても簡単に認証ができる為、多くの企業が導入に取り組んでいます。

ここでは、SMS認証は本当に安全に顧客認証の質を高めることができるのかに加え、SMS認証の導入に向いている企業と導入フローなどを説明します。

【SMS認証の基本】

●SMS認証とは

・定義

携帯電話で利用されているSMSを利用した認証方法です。本人確認を行う際に使われています。個人情報を扱う際に重視される機能です。

SMSについて詳しくはこちら:https://zettai-reach.com/the-smart-sales/2021/04/19/sms/

【SMS認証が普及している理由】

SMS認証が広く普及されている理由として、上記で示した到達率以外にも以下の要因が挙げられます。

・高い到達率・開封率

‐到達率
SMSの到達率が高い理由は、電話番号を宛先にしているからです。
多くの人は携帯電話を変えても、電話番号は変えない為機種変更による未到達を防げます。また、メールアドレス等と違って、電話番号は頻繁に変えられることがないため、他のツールよりも圧倒的に高い到達率を維持しています。

‐開封率
SMSの開封率が高い理由は2つあります
一つ目が、メールと違いSMS似てメッセージを送る企業は少ないため、他のメッセージに埋もれることがないという点です。
2つ目は、SMSは基本的にプッシュアップ通知に設定されているため、気づいてもらえる可能性が高いことが挙げられます。

・安全性

SMS認証が普及している最も大きな要因はそのセキュリティの高さです
SMS認証のセキュリティが高い理由としては「認証手段として電話番号が使われている」という点です。
SMS認証は、電話番号あてに送信されるためその携帯電話を持っている当事者しか操作できません。その為、乗っ取りなどのリスクは軽減できます。他者に不正に利用されるリスクを抑えることができます。

・手軽さ

SMS認証は高いセキュリティにもかかわらず、送受信者双方にとって利用のハードルが低いです。
まず、SMSはどのキャリアでも標準装備されています。その為、ユーザーはSMS認証を利用するにあたってにアプリのダウンロードやサイトへの登録をする必要がありません。

このような手軽さはSMS認証を普及させたといえるでしょう。

・コスト

SMS認証は2段階認証の中で比較的安価です。加えて、初期費用がかからないことも多く、導入にかける手間も少なくて済むため低コストでの導入が見込めます。

【SMS認証の導入事例・SMS認証に向いている企業】

 ●導入例

・金融機関での振り込み
金融機関で一定額以上の振り込みを行う際に、SMS認証が使われることがあります。
振込確定の前にワンタイムパスワードをSMSに送り、そのパスワードを振込画面に入力することで確認が行われます。

・決済サービスのログイン
ECサイト等で買い物をし、決済する際に口座番号やクレジットカード番号など重要な情報を取り扱うことがあります。その際にSMS認証が使われます。フローは上記と同様です。

このように、SMS認証は金融商材を扱う業界、電子決済決済サービスなどお客様の個人情報を多く扱う企業に向いているといえます。

【多要素認証におけるSMS認証について】

●多要素認証におけるSMS認証

・多要素認証とは
近年、本人確認のプロセスがないことによる不正利用やなりすましが問題になってきています。これを踏まえ、金融庁から認証強化の要請が出ました。

そこで、注目されたのが多要素認証です。多要素認証とは「知識情報」「所持情報」「生体情報」の三つのうち二つ以上の要素により認証を行うことを言います。
多要素認証を取り入れると第三者がログインを行おうとしても、所有要素や生体要素での認証を行わなければならない為、不正アクセスができないような使用になっています。

・多要素認証におけるSMS認証
SMS認証は、多要素認証の中でも知識情報と所持情報の2つを取り扱うため、2段階認証と呼ばれます。

一回目(サイト上でのログイン)がIDとパスワード(知識情報)、二回目(SMSで送られてくる情報の入力)がSMS認証(所持情報)の2要素認証、2段階認証です。

SMSは多要素認証のため、セキュリティ強度は高いといえます。

本当なら、生体認証が含まれる多要素認証の方が安全度は高まりますがユーザーの使いやすさ・現実性を考慮すると総合的に評価が高い認証ツールとして評価されています。

【API連携できるSMS認証サービスの選定とSMS認証の実装】

●API連携できるSMS認証サービスの選定

SMS認証の多くは会員登録等の際に行われます。その為、必要なタイミングで即時にSMS認証が送信できなければなりません。必要な時にすぐSMS認証を送るためには自社のシステムとSMS認証システムをAPI連携できるSMS認証サービスの選定が必須となります。

●SMS認証の実装

SMS認証の流れは主に

①ユーザーからSMS認証の要求を確認

②企業側からAPI経由でSMS送信サービスに認証コードの送信を要求

③SMS送信サービスが認証コードを記載したSMSをユーザーへ送信

④Web上でコードが入力されるとAPI経由でSMSサービから企業に入力結果を通知

⑤企業が正しいことを確認したら完了

というフローになります。

●テスト&運用開始

SMSの送信が一定の時間内にできているか、確認コードの有効・無効が時間により制御できているかなどをテストを通じて確認しましょう。
問題がなければ、運用開始ができるようになります。

【SMS認証の注意点と更なるセキュリティ強化に向けたIVR】

●SMS認証のなりすまし

前述の通り、安全性が高いといわれているSMS認証ですが、近年本人確認をすり抜ける「認証代行業者」が確認されています。

認証代行を可能にしているのが、格安携帯電話業者が顧客と契約をする際の本人確認が甘いことが挙げられます。
つまり、携帯電話の契約の際にしっかりと本人確認が行われていなかった場合にこのようななりすまし被害の確率はあがってしまいます。

本人確認の精度を上げ、認証代行などの被害を防ぐためにも、音声契約の有無が重要となってきます。
音声契約がアリの携帯電話は身分証明書が必要であるため被害を防げるといわれています。
そのため、音声契約の有無を判別した上でSMS認証の送信をコントロールすることで、更なるセキュリティ強化が可能となります。

●IVRを活用した更なるセキュリティの強化

SMS認証の更なるセキュリティの強化の方法としてとして、音声契約の有無の判別について述べました。

この音声契約の有無を判別する際にIVRが有効となり、IVRサービスで音声認証することで音声契約の有無の判別が可能になり、SMS認証のセキュリティをより高めることができます。

IVRについて詳しくはこちら:https://zettai-reach.com/the-smart-sales/2021/08/04/ivr-3/

【安全で使いやすいSMS認証の導入で本人確認をスムーズに】

近年セキュリティの隙をつくなりすまし行為が横行しており、よりセキュリティを強化したSMS認証が必要となっています。
→弊社では従来のSMS認証を【より安全に】【より使いやすく】した『セキュアSMS認証』
を提供します。

セキュアなSMS認証を検討される際には、是非弊社のサービス(セキュアSMS認証:https://www.zettai-reach.com/plan-lp-secure-sms/ )も選択肢に入れていただけると幸いです。

絶対リーチ