SMS認証とは？機能の仕組みやメリット・デメリットを徹底解説

利用者側

利用者側では、以下のような流れでSMS認証が完了します。

1. 利用者がWebサイトやアプリのアカウント作成画面から登録を進める
2. 利用者が自身の携帯電話の番号を入力する
3. その携帯電話番号に認証コードが記載されたSMSが送信される
4. 記載された認証コードをWebサイトやアプリ上で入力する
5. 入力した認証コードが正しければ、アカウントの登録が完了する

アカウントを新規で作成するパターンを紹介しましたが、ログイン時にSMS認証が求められることもあります。

配信者側

配信者側でのSMS認証の仕組みは、以下のステップに分けられます。

1. 利用者から認証要求を受け取った後、配信者はAPIを通してSMS配信サービスに認証コードの送信を要求する
2. その要求を受けたSMS配信サービスが利用者に認証コード付きのSMSを送る
3. 利用者が認証コードをWebサイトやアプリ上で入力すると、その情報がSMS配信サービスに送られ、生成された認証コードとの一致を確認する
4. 認証コードが一致していた場合、認証成功と判断し、利用者の要求を許可する

基本的に配信者側が全ての処理を実行するのではなく、SMS配信サービスと連携することで、効率的な認証システムを確立しています。

導入・運用のハードルが低い

ほかの二段階認証に比べてSMS認証は導入までのハードルが低く、運用コストも比較的抑えられます。特別なハードウェアの導入や高度な技術的知識は不要で、ほとんどのユーザーがすでに携帯電話を所有しているため、追加の設備投資も必要ありません。対応している配信サービス会社が多いのもポイントです。

セキュリティ対策を強化できる

SMS認証を導入することで、セキュリティ対策を大幅に強化できます。基本的に本人以外がデバイスを所持していることは少ないため、悪意のある不正アクセスを防ぎやすい傾向にあります。

また、SMS認証は電話番号にメッセージを送信する方法であるため、第三者にパスワードが漏れるといった心配もありません。

【関連記事】企業が取り組むべきセキュリティ対策とは？重要性や対策内容を解説

不正アカウントの登録を防止できる

3つ目のメリットは、不正アカウントの登録を防止できることです。IDとパスワード、メールアドレスのみで登録する場合に比べ、SMS認証では1つの電話番号に対して1つのアカウントしか作成できないため、不正アカウントの登録防止に役立ちます。

多くの人に手軽に利用してもらえる

現代のほとんどのユーザーが携帯電話やスマートフォンを所持しているため、SMS認証は多くの人に利用してもらえます。また、SMS認証はすでに多くのアプリやサービスで採用されており、ユーザーがこの認証方法に慣れているため、新たなサービスへの抵抗感を抑えられます。

SMSの受信設定によっては届かない

1つ目のデメリットは、SMSの受信設定によってはメッセージが届かないことです。利用者側がSMSの拒否設定を行っていた場合、そのデバイスに認証コードは届かず、サービスを利用してもらえない可能性があります。

つまり、配信者側はSMS認証を採用することで、一部ケースに限り、機会損失が発生するリスクがあるのです。とはいえ、SMSの受信を拒否している人は稀であるため、そこまで心配する必要はありません。

格安SIMユーザーは利用できないことがある

格安SIMの中には、電話番号を持たないデータ通信のみのサービスがあります。その場合、利用者は配信者から送られるSMSを受信することができません。

▼SMSを受信できない可能性のある格安SIM

• OCNモバイルONE
• IIJmio
• イオンモバイル
• BIGLOBEモバイル
• mineo

ただし、これらの格安SIMには、SMSが届く「SMS対応プラン」などが設けられています。SMSを利用できないのは、あくまで一部利用者のみということを覚えておきましょう。

デバイスを紛失するとログインできなくなる

利用者がデバイスを紛失すると、認証コードを受け取ることができず、サービスにログインできなくなる可能性があります。これは、携帯キャリアを解約し、電話番号が変わってしまった場合も同様です。

これらのケースでは、新しいデバイスで認証情報を変更するための手続きが必要となります。配信者側は注意点として、利用者にこの旨を伝えましょう。

SMS認証サービスを選定する

まずは、自社にとって適切なSMS認証サービスを探すところから始まります。サービスの選定においては、SMS送信のコスト、国内外への送信範囲、連携APIの存在、サポート体制などが重要なポイントとなります。

連携機能を開発・実装する

次に、選定したサービスと自社システムとの連携機能の開発・実装を進めます。具体的には、自社の所有システムからAPIを通じて、SMS認証サービスにSMS送信を指示する機能を開発し、そのシステムを実装します。

自社だけで開発・実装が難しい場合は、SMS認証サービスを専門に扱う業者にご相談ください。「電子印鑑GMOサイン」でも、SMS認証のご相談を承っています。

試用・テストを行う

開発・実装した連携機能のテストを行います。自社のサービスと連携できているか、SMSがしっかりと送信されているかなどを確認します。

この時、SMSが利用者に適切なタイミングで届いているか、コード入力後の処理がスムーズに実行できているか、といったユーザビリティにも意識を向けましょう。

運用を開始する

テストが無事完了したら、実際に運用を開始します。導入後は定期的にシステムのメンテナンスを行い、問題が出ていないか引き続き確認することが重要です。

API連携に対応しているか

SMS認証を利用する上では、API連携機能が必須となります。APIを通じて自社の基幹システムから認証コードの送信指示を行うため、自社システムとの相性、APIのドキュメンテーションが充実しているかなどを確認しましょう。

国内直収サービスか

国内携帯キャリアと連携を図るために、国内直収サービスかどうかも重要となります。国内直収サービスとは、国内携帯キャリアと直接接続してメッセージを配信するサービスのことです。

国内直収サービスであれば、送信速度の安定や確実な配信が可能となります。一方で、該当していない場合は、スパムメッセージとしてブロックされる可能性があるため注意が必要です。

遅延対策に向いているか

サービスを選ぶ際は、遅延対策に向いているかも確認しましょう。SMSの送信量が多いと遅延を起こす可能性があり、この遅延を発生させないためにも、サービスが遅延対策に向いているかが重要となります。

具体的な遅延対策としては、高送信量でもスムーズにSMSが配信されるよう、サーバーの負荷分散やリトライ機能などがこれに該当します。

対応しているキャリア数は多いか

効率的にSMS認証を実施するためにも、対応しているキャリア数がポイントとなります。対応キャリアが多いことで、より多くのユーザーに対応でき、サービスの利用範囲を広げることが可能です。

携帯の大手3キャリアに対応しているのはもちろんのこと、格安SIMに対応しているか、新たに登場するキャリアに迅速に対応できるか、などがサービスを選ぶ上で重要となります。

活用事例：三井住友銀行

三井住友銀行は、SMS認証サービスを積極的に取り入れています。インターネットバンキング「SMBCダイレクト」での一部利用において、普段の利用環境と異なる場合等に追加認証が求められるケースがあります。

その際の本人確認手段として、SMS認証が採用されているのです。これにより、SMBCダイレクトのセキュリティ対策が強化されています。

なお、SMBCダイレクトではSMS認証のほかに、自動音声による電話確認の手段も設けられています。2つの手段を設けることで、SMSを受信できないユーザーにもサービスの利用を促すことが可能です。

提供事例：電子印鑑GMOサイン

企業向けの電子契約サービスである「電子印鑑GMOサイン」は、電子契約書を送信する際に、アクセスコード（パスワード）を設定することができます。このアクセスコードは別途SMSやメッセンジャーツール、電話などで伝え、本人以外はそのアクセスコードを知りえない状況を作ります。

これにより、悪意のある不正アクセスを防止し、署名者が本人であるという証拠力を強化することが可能です。なお、このアクセスコードによるセキュリティ強化は、本サービスの標準機能として備わっており、追加費用なく利用できます。