SMS認証とは? 本人宛に届く認証コード
SMS認証は企業がソフトウェアやアプリのログイン時に本人確認を目的に、携帯電話番号宛に届けられる4〜6桁程度の認証コード(ワンタイムパスワード)を送信し、アクセス権を付与するための多要素認証です。多くの場合、SMS配信事業が提供するAPIと連携し、自動で送信されます。
自由に発行できるEメールと違い、携帯電話番号は身分確認が証明された本人のみしか保有できないため本人確認性が高い認証方法として各種Webサービスに設定されています。
【補足】APIとは?
APIとはApplication Programming Interfaceの略称で、ソフトウェアの機能を共有する仕組みを指します。開発者は、ソフトウェアに必要な機能のAPIが公開されていれば、その機能をゼロから開発する必要がありません。
SMS認証がセキュリティ強化に有効な理由
SMS認証以外にもメールアドレス宛に行う認証方法もありますが、メールアカウント自体が乗っ取られるリスクがあるため、セキュリティ面ではSMSでワンタイムパスワードやショートコードを送ることが安全です。
SMSは本人が所持している携帯電話のみにしか送られないため、本人のみが送られてきた暗証番号のワンタイムパスコードを確認することができます。またその携帯端末を所持していなければチェックする事ができないため、いかなる状況でも端末を所持していて、そのロックを解除できるものしか確認できません。
よくあるケースは、Webサービスへの新規登録やログイン時に本人であるかを確認するためにX桁の認証コードやワンタイムパスワードがSMSで自動で送信されます。これらは二段階認証の一つとして認証コードが自動で送信されるようにAPI連携し、導入されています。
さらにワンタイムパスコードは4桁以上のランダムの数字が多く、送られてきてから入力までに時間制限があります。基本的に使い捨てコードのため、時間が経過しすぎた番号は入力しても認証されず、ユーザーは再度認証用の番号を取得する必要があります。
なりすまし防止対策に
SMSを通じての認証は1つ番号のみしかアクセスできないため、悪意ある第三者からの外部アクセスを防ぐために不可欠と言えるでしょう。
以前はIDやパスワードのみの「一段階認証」が一般的でしたが、近年ではキャッシュレスの浸透の影響もあり、よりセキュリティを高めるためにSMS認証APIをシステムやログインプロセスに「二段階認証」を導入する企業が増加しています。これはなりすましや複数アカウントの所持を防止する対策として行われています。
Emailは誰でも発行できるため、悪意のある第三者が企業になりすまし、アカウント情報を抜き取れるURLから詐欺サイトへの誘導するフィッシングメール詐欺などが有名です。
誤ってクリックしてしまった場合、個人情報が盗み取られる危険性があります。事実、数億規模の大金を取られる事件を発生していますので、年々セキュリティ強化への意識は向上せざるを得ない状況と言えるでしょう。
複数アカウント登録の抑制にも効果的
SMS認証では不正ログイン防止や複数アカウントの登録を抑制する事ができます。理由としては、携帯番号はメールアドレスよりも取得が容易ではなく、個人が1人でいくつもの番号を持っている人はあまりいないからです。
複数アカウントは転売目的で作成されることが多々あります。例えば、有名アイドルのコンサートチケットで制限がある人気商品を一度に大量に仕入れるために使わるケース。
それ以外にもひとつのオンラインプラットフォームで大量出品するために使われたりします。また、転売目的以外では複数アカウントを作成して1度限りのクーポンを何回も入手して使う人もいます。
このような問題に対してユーザー登録時にSMS認証を要求することで、1人の人物が複数のアカウントを登録できなくなります。結果的にサービスの不正利用を防ぎだけでなく、不正利用による被害も抑制できるのです。
SMS認証APIを導入するためには?
SMS認証をサービスに実装させるためには、SMS配信会社と契約し配信用のAPIを取得する必要があります。その際に注意したいのが、ユーザーが利用している通信会社や住んでいる地域です。
SMS認証で送られてくるワンタイムパスコードは、ユーザーがサービスを利用するために必要です。SMSが届かないという事態は致命的。そのため、SMS認証導入の際はSMS配信会社が保有している配信ルートに着目しましょう。
SMS配信会社はそれぞれが独自に通信会社とコネクションを持ち、SMS配信ルートを保有しています。このルートによって到達率はもちろん、SMSを届けられる国も変わってきます。
SMS認証を検討する場合は、SMSを届けたいユーザーが利用している通信会社(ドコモ、au、ソフトバンク、楽天モバイル等)や住んでいる地域を事前にSMS配信会社に伝え、適切なルートをアサインしてもらいましょう。
- 本人確認をログインやアプリーケーションに導入する事例
- オンラインショッピングのサイトやアプリの登録時
- 音楽や動画などの月額制サービスを別デバイスからログインしようとしている時
- SNS系のサービス、ゲームやアプリを別デバイスからログインしようとしている時
- 金融、証券、保険など取引時や振込時
- ポイントサービスでのポイント交換時
SMS認証以外の企業事例
SMSが各種システムやCRMと連携することで、サービス提供側はユーザーに自動もしくは手動でテキストメッセージを送れるようになります。
例えば、ホテルやレストラン予約サイトにSMS認証APIを連携させた場合、エンドユーザーが予約を完了させたタイミングで予約通知が自動で配信されたり、予約日前日にリマインド通知を送る事ができるように設定する事ができます。
企業側はホテル・レストランの予約情報や日時を予約者に届けることで、ノーショーや当日のドタキャン防止による売上減少を防ぐ事ができます。
一方で予約者は受け取った情報は埋もれる事もないので、改めてレストランの予約情報を探す必要がありません。これは企業と個人間の双方でハッピーな状況のため、優れたカスタマーエクスペリアンスを提供している状況となります。
- 一般的な企業の利用用途
- パーソナライズされたSMSの一斉送信
- 予約確認やリマインド通知
- 商品発送通知
- アプリへのメッセージ受信通知
- セール情報やクーポン
※マーケティングやプロモーション利用のSMSはエンドユーザーからのオプトイン取得が特定電子メール法で定められています。
API連携をしていない場合
API連携をしていない場合、予約確認やリマインド通知は現場のスタッフによって手動で対応しなければなりません。
例えば、当日の予約確認や時間になっても来ないお客様に電話で状況を確認するだけでなく、急遽テーブルの配置を変えるなど場当たり的な対応が求められます。
それららはAPI連携することで解決する事ができます。従来マニュアルで行われていた通知作業を自動化する事で、業務効率化だけではなくヒューマンエラーをなくす事ができます。
API連携する事で、わざわざSMS配信ツールを使用してSMSの作成、送信をする手間がなくなります。前述した宿泊・飲食店予約サイトのように、予約者に自動配信できる定型メッセージサービスを使わない手はありません。
加えてSMSの場合、エンドユーザーがインターネット環境になくても、携帯電話でSMSを受信できる点です。またEmailやアプリのようにアプリをインストールする必要がないため、携帯電話を保有する全てのユーザーに届ける事が可能です。
SMS認証・配信APIサービスならCM.comが早くて簡単
CM.comではSMS配信とSMS認証専用の2種類のAPIを提供しています。
SMS認証APIでは二段階認証に必要なパスワード生成・配信・認証全てが1つのAPIで実装可能です。またテキストのみだけでなく、音声でパスコード案内をできる事ができます。
日本国内、海外へのSMS送信が必要な場合は、ぜひCM.comのSMS APIをご利用ください。シンプルなAPIで、簡単にSMSの一斉送信を他システムへ実装できます。
CM.comは世界17ヶ国21ヶ所に拠点を構え、世界中の1,000以上の通信会社とコネクションがあり、199ヶ国へSMS配信が可能です。CM.comは月間アクティブユーザー数2200万人の超巨大SNSアプリへSMS認証システムを提供しており、大量一斉配信にも耐えられる安定した技術とセキュリティを持っています。
開発者の方はこちらのSMS API仕様書をご確認ください。日本語版の仕様書をご希望の場合はお気軽にお問い合わせください。