「SMS認証」は、携帯電話に認証コードを記載したショートメッセージ（SMS）を受信し、入力フォームに当該コードを入力する認証システムです。なりすましや不正利用を防ぎつつ、ユーザーにとっても利用しやすいことから、幅広い業界で普及が進んでいます。この記事では、SMS認証のメリット・デメリット、活用方法などについて解説します。

SMS認証とは

SMS認証とは、携帯電話やスマートフォンのショートメッセージ（SMS）を活用した認証方式です。会員サイトのログインや銀行や証券などの新規口座開設、パスワードの再設定などで多くの方が一度は利用したことがあるのではないでしょうか。

SMS認証では、携帯電話のメッセージ送受信機能を使用するため、場所や時間を気にせず手軽に本人確認を行うことができます。また認証コードは携帯電話に自動で受信・通知してくれるため、ユーザーの手間がかからない点もSMS認証の特長と言えます。

本人確認に重要な「身元確認」と「当人認証」

本人確認に関する法律の代表的なものとして警察庁が所管する「犯罪による収益の移転防止に関する法律」があります。本人確認事項は「本人特定事項の確認」や「取引時確認」という言葉で表現されており、特定された事業者の特定の取引では所定の本人確認が義務化されています。

経済産業省でも「オンラインサービスにおける身元確認に関する研究会」をなどを中心にオンライン上での本人確認について議論をしており、本人確認については「身元確認」と「当人認証」という2つの認証方式を同時に行うべきであるとしています。

身元確認とは、公的な身分証明書類を所持していることを確認し、かつ身分証に記載されてる住所に居住していることを確認することを基本としており、身元確認済の事業者へ照会をおこなう方法も認められています。

当人認証とは「当人しか知らない情報」「当人のみが所持している」「当人固有の生体的特徴」といった情報を用いて、身元確認を行った人物と同一であることを確認することが推奨されています。

前述のとおり「当人認証」には「多要素認証」が推奨されていますが、さらにセキュリティを高めるためには「二段階認証」という方法を採用することが望まれます。これらの認証方法について続いて説明していきたいと思います。

→認証について詳しく見る

二段階認証とは

二段階認証とは、1回目の認証に加え、異なる要素を用いた2回目の認証を行うことでセキュリティを強化する認証方式です。一般的には、端末からID・パスワードを入力した後、認証後に発行される認証コードやワンタイムパスワードを再度入力するといった方法が広く利用されています。

広義においては、以下の例すべてが二段階認証と言えます。

多要素認証とは

一方で認証を行う際は「多要素認証」がセキュリティの観点で推奨されています。多要素認証とは「知識情報」「所持情報」「生体情報」の3つの要素うち、異なる2つ以上の要素を組み合わせて認証を行うことです。

オンライン取引でよくみる認証パターンは「ユーザーID＋パスワード」、「メールアドレス＋パスワード」など、知識情報のみで行われていることが多く、推測や総当たりで突破されてしまうリスクが高くなります。

では、実際にどういった要素を使って認証をおこなうのか見てみましょう。まず、所持情報を活用した認証ですが、知識情報と組み合わせ多要素認証を実現します。所持情報としては、本人しか所持していないもの（カード番号、ハードウエアトークン、乱数表カードなど）が挙げられます。

このように所持情報を追加した認証では、下記のような効果が期待されます。

• ブルートフォースアタックで回数内に突破されることを防ぐ
• ハードウェアトークンで突破しようとしている間に、現在時刻を利用したアルゴリズムによる番号変更で時間的に突破を防ぐ

しかしこれらの所持情報は、下記のようなデメリットがあります。

では、生体情報はどうでしょうか。生体情報は「本人である」ということを直接的に証明する要素であるため、なりすまし防止の効果が高いと考えられます。

生体情報には、指紋や顔、静脈などさまざまな要素があります。専用ハードウェアーを用いれば様々な認証方式が実現できますが、オンラインサービスにおいては利用端末への依存が課題となります。そのため、一般的なスマートフォンやPCで利用できる「指紋認証」や「顔認証」が適した認証方法と言えるでしょう。

生体情報は所持情報と異なり第三者が容易に奪うことができないため、高いセキュリティを確保できる点が特長です。一方で、生体情報による認証も偽装が完全に不可能というわけではありません。さらに、偽装を防ぐために判定基準を厳しく設定すると、正当な本人であっても認証されない「本人拒否」が発生する可能性があり、利便性とのバランスを考慮する必要があります。

SMS認証のメリット

上記で述べた認証方法に当てはめると、例えばサイトのログイン時のSMS認証は、ID・パスワードという「知識情報」と、SMSを受信できる携帯電話を所持している「所持認証」を掛け合わせた「多要素認証」です。

Eメールで認証番号を送信する方法は、端末を所持していなくてもログインできる「知識情報」に分類されます。一方、SMSを用いた二段階認証は、携帯電話という「所持情報」により多要素化ができる点が特長です。さらに、紛失に気づきやすい点において不正利用の早期発見にもつながります。このように、SMS認証はユーザビリティとセキュリティを両立できる、利便性の高い認証方法と言えます。

また、SMS認証は他の所持情報と比べ、多くの場合ユーザーが既に利用しているSMSアプリに認証コードを送信する仕組みのため、専用デバイスの用意や新たなアプリの開発が不要です。

SMS認証のデメリット

一方で、SMS認証はユーザーが端末の設定を受信拒否にしていたり、電話回線の契約をしていないMVNO（格安SIM）の携帯電話には届かないといったデメリットがあります。また2016年7月に米NIST（国立標準技術研究所）の見解では、安全ではないという見解を示しています。

その理由は以下の３つの懸念によるものです。

◆SMSによる二要素認証の懸念点

• ロックされたデバイスの画面へ認証コードが表示される
• 「SIMスワップ」というなりすましが可能
  利用者がSIMカードを紛失・破損したときに通信事業者に連絡し、別のSIMカードに電話番号を移してもらう
• 「SMSインターセプト」
  マルウェアやスパイウェアなどによりSMSの内容を傍受したり、ネットワーク上からデータを盗む

確かに懸念はあるものの、国内においては利用しやすい認証として現在も広く普及しています。

SMS認証と他の認証方式の組み合わせ

ここまでSMS認証のみについて解説しましたが、SMS認証を「当人認証」に使用し、より強固な本人確認方法で「身元確認」を行うことでよりセキュリティの高い本人確認を行うことができます。下記の図は、犯罪収益移転防止法に沿ったeKYCを活用して本人確認を行い、SMS認証で当人認証を行う例です。

このように初回登録時に身元確認を行い、ログイン時などにSMS認証のような便利な認証方法で当人認証を行うことで、ユーザーがサービスを利用する際により強固なセキュリティを実現することが可能です。

まとめ

一般的なIDとパスワードの組み合わせでは、共通してパスワードなどを利用しているユーザーが多い場合、不正利用に対する被害が防ぎづらくなってしまいます。対してSMS認証は手軽でセキュリティの高い認証方法と言えるでしょう。

より低コスト、到達率の高いSMS認証に対応できるショーケースの「カンタンSMS認証」については下記からお問い合わせください！

SMS認証について
お問い合わせする

eKYCサービスの特徴

安心・品質の高く、多機能であらゆる本人確認に対応 開発不要！最短1週間で導入可能です AIによる申込情報と本人確認書類の情報を自動で突合し自動で審査が完了

eKYCサービスの詳細を見る 無料資料請求はこちら