fbpx

SMS認証とは?導入理由や活用事例などを解説!

  • このエントリーをはてなブックマークに追加

SMS認証とは?

スマートフォン・携帯電話のSMSサービスを利用した認証サービスです。認証コードが記載されたショートメッセージをユーザーのスマートフォンに送り、アカウント情報と共に正しい認証コードの入力を求めます。クラウドサービスに移行した企業での認証やインターネットバンキングでの認証など、様々な場面で利用されています。

SMS認証が導入される3つの理由とは?

電話番号のみで他のユーザーと認識できるため、低コストでセキュリティレベルを上げられる点が魅力です。

ユーザーと機種を同時に識別可能

携帯電話番号に同一の番号は存在せず他人と被ることが無いため、ユーザーとスマートフォンの認証を同時に確認できます。
これまで認証に利用されてきたEメールアドレスやフリーメールでは複数のアドレスを作れるため、個人を識別することはできません。
また、携帯電話の盗難や紛失が無い限り電話番号や認証コードが流出する可能性は低く、アカウント情報のハッキングリスクを軽減できます。

そして、犯罪者が自分の所有しているスマートフォンの携帯電話番号ではなく、ランダムに選んだ番号を入力してオンラインゲームへの課金や有料アプリを不正にダウンロードしようとしても、認証コードを入力できないため実現には至りません。

セキュリティレベルを強固にできる

GmailやYahoo!メールなどのフリーアドレスを二段階認証に使用すると、サイバー攻撃でアカウント情報をハッキングされた場合に簡単に悪用されます。
また、カフェやファストフード店など外出先でアカウント情報を盗み見られる可能性もあります。

一方、電話番号はキャリアの審査を経て発効を行っているため、不正取得が困難です。
また、SIMカードに紐づいているため機種本体が故障した場合でもSIMカードが手元にあれば継続して認証に利用できる他、悪用した場合に足が付きやすく犯罪行為の抑制にもつながります。

低コストで導入できる

SMSはスマートフォンと携帯電話どちらにも標準機能として搭載している機能です。
新たにお金を掛けてインストールする必要性や登録作業を行う必要が無いので、ユーザーに負担が掛かりません。
また、携帯電話は手元に常備しておくことが多く、認証を求められた場合でもスムーズに応じることが可能です。

さらに、メッセージを送る場合も1通10円前後しか掛からないため、高いコストパフォーマンスが期待できます。

SMS認証を活用した二段階認証とは?

二段階認証とは、Webサイトやシステムへアクセスをしたときに2度認証を行うことです。
アカウント情報を入力した後にSMSを活用した認証コードを入力する場合に加え、指紋認証や虹彩認証など生体認証を活用する場合があります。

また、二段階認証は同じ方法での認証も設定可能です。例えば、ID/パスワードを二回入力するよう設定することもできますが、アカウント情報が洩れていた場合はセキュリティレベルの強化につながりません。

そのため、コピーがしづらい個人特有の情報である生体認証や専用トークンの組み合わせなど、違う要素を認証に求める二要素認証・多要素認証の方がセキュリティレベルの強化につながります。

二要素認証で利用される認証の種類は?

知識認証、所有物認証、生体認証の3種類が挙げられます。
複数の方法を組み合わせてセキュリティレベルを上げることが重要です。

知識認証

個人だけが知り得る情報や知識を活用して行う認証で、ID/パスワード、秘密の質問、ワンタイムパスワードなどを活用します。
一般的な認証の方法として人々に広く知られており幅広い世代で受け入れやすく、比較的低コストで幅広いシステムに導入可能です。

ですが、知識認証だけの認証設定ではパスワードリスト型攻撃やブルートフォース攻撃でアカウント情報を見破られたり、外出時に第3者から盗み見られたりする可能性があります。
そのため、所有物認証や生体認証と組み合わせて活用することでセキュリティレベルを上げます。

所有物認証

スマートフォン・専用トークン・ICカードなど、個人が持つ所有物を活用して認証を行います。
メリットはパスワードを覚える必要が無い点や専用アイテムを持っている者しか認証を行えない点です。
カードやトークンなど専用アイテムの持ち主しか認証作業は行えず、さらにパスワードの入力作業も必要ないため利便性と安全性を兼ね備えた認証だと言えます。

反面、盗難や紛失すると悪用されるリスクが高まるため、社員への教育徹底や各企業ごとに管理のルールを決めることが重要です。

生体認証

指紋・虹彩・顔など個人の持つ身体的特徴を活用して認証を行います。
メリットはコピーや偽造がしづらいのに加え、入力作業を行わずに認証作業ができるので高いレベルの安全性と利便性を兼ね備えています。
また、盗難やパスワードの紛失などを心配する必要もありません。

反面、情報漏洩した場合は生体認証を使うことができなくなるので、高いレベルでのセキュリティ対策が不可欠です。
また、顔認証を採用した場合に加齢や体型変化、化粧などの影響で本人認証が認識されない場合もあり、精度の高いセンサーの導入やバックアップとして別の認証の方法を用意しておく必要があります。

二段階認証が求められる3つの理由とは?

サイバー攻撃の脅威が増しており、個人情報と企業の機密情報を守るための仕組みを強固にする必要があります。
また、オンライン上で運用・管理を行うことが増えたため、情報資産を守るための知識の蓄積と対策を行わなければなりません。

日常生活においてオンライン上で行うことが増えた

テレワークの定着や外出自粛の影響で自宅で過ごす時間が増えた影響から、ネットショッピングを利用する方々が増えました。
20代や30代などの若年層だけでなく、60代以上の高齢世帯にもネットショッピングの利用頻度が増えています。
そのため、従来はハイブランドの時計・アパレル品、旅行や飛行機のチケットなどに限定されていた使用用途も、2020年は家電・健康食品・化粧品などを中心に幅広い用途に拡がっています。

新型コロナウイルス感染症の感染拡大の影響に伴い店舗でのショッピングやイベントへの参加に抵抗を感じる方も多く、今後しばらくネットショッピングの利用は高水準で移行するでしょう。
だからこそ、情報流出への備えを万全にする必要があります。

クレジットカード情報やインターネットバンキングの口座情報など、個人情報の扱いには一層慎重にならなければなりません。
現に偽装メールを活用したフィッシング詐欺やスミッシングなど、ネットショッピングの利用機会増大を狙ったサイバー攻撃の被害が増加しています。
個人情報を保護するためにも二段階認証を設定して、不正アクセスのリスクを軽減する必要があります。

情報漏洩を防ぐため

日本IBMが2020年8月に発表した調査では、企業で情報漏洩が起きた場合の被害額は平均4億円以上で、情報漏洩のうち約80%が個人情報に関する情報だとも併せて発表しています。
犯罪者にとって企業が抱える情報資産は利用価値が高い情報ばかりです。

従業員の個人情報・取引先情報・顧客の個人情報など、ダークウェブで売却すれば多額の金銭的見返りが期待できる他、クレジットカードや銀行口座から不正にお金を引き出すことも可能です。
また、一度でも情報漏洩が起きた場合、取引先や消費者からの信用を失います。

近年は情報漏洩事件が多発していることもあり、多くの企業は情報漏洩に敏感になっています。
情報漏洩が起きた場合は取引量減少・取引停止を求められる可能性は高く、優れたサービスや商品を持っていない限り今後のビジネスは相当厳しい状態になります。

情報漏洩が起きた場合の影響

狙われる情報資産 情報漏洩が起きた場合のリスク 想定される影響
内容
  • 従業員の個人情報
  • 自社で抱える商品・サービスのデータ
  • 顧客の個人情報
  • 取引先情報
  • 莫大な経済利益の損失
  • 社会的信用の損失
  • 消費者離れ
  • 市場での優位性消失
  • 社員からの不信感増大
  • ブランドイメージの失墜

クラウドサービスへの移行を加速

多様な働き方を認める企業の増加や新型コロナウイルスの感染拡大もあり、在宅勤務やテレワークを導入する企業が増えてきました。
クラウドサービスへの移行は社員・企業双方に幅広い面でメリットをもたらすだけでなく、自社で運用・管理を行うオンプレミスよりも低コストでの運用が可能です。
また、クラウドサービスはインターネットに接続可能な環境さえ整えれば自宅やカフェ、顧客先などアクセス地点を問わないため、在宅勤務やリモートワークとの親和性も高いです。

そして、これまで不安視させてきたセキュリティ面に関してもベンダー努力やクラウドへの理解が進むにつれて、現在では「オンプレミスで管理するよりも安心ではないか」との声も多くなっています。
セキュリティ分野へのノウハウが無い企業でもスムーズに導入できるよう工夫を凝らしたサービスも多く、今後もクラウドサービスへ移行する企業は増え続けるでしょう。

クラウドサービスを導入することでのメリット

企業 社員
内容
  • オフィス賃料や交通費のコストカット
  • 優秀な社員の流出防止
  • 場所を問わない採用活動も実現可能
  • 社員の健康保護
  • 業務効率改善に期待
  • 企業ブランドのイメージ向上
  • 通勤時間の有効活用
  • 通勤による感染症疾患リスク軽減
  • 人間関係でのストレス軽減
  • 自分のペースで業務遂行が可能
  • 結婚や出産があっても仕事の継続が選択可能
  • 仕事への満足度向上

クラウドサービスとオンプレミスの比較

クラウドサービス オンプレミス
メリット
  • 初期費用&ランニングコストが安価
  • ネットインフラの整備は不要
  • オンライン上で申し込めばすぐに利用可能
  • 効率的な運用を実現
  • 通信障害はベンダーが対応
  • 安全性が高い
  • カスタマイズ性が高い
  • 自社にとってやりやすい形を実現
  • サービス停止の心配は不要
デメリット
  • カスタマイズ性が低い
  • アクシデントが起きると復旧するまで業務停滞
  • サービス継続を中止した場合は使用不可
  • 初期費用・ランニングコストが高い
  • 導入まで時間が必要
  • セキュリティ分野の知識に長けた社員が必要
  • 通信障害や速度遅延には全て自社で対応
  • システム管理者の業務負担増大

SMS認証の活用事例とは?

IDaaS(Identity as a Service)、金融機関・ATM、電子決済、SNS、チケットサイトに活用されています。

IDaaS

クラウド上でID管理アクセス制限を行うIDaaSの認証機能の一つとして採用されています。
アプリやクラウドサービスのログイン時にワンタイムパスワードの入力を求める設定にした場合に、SMS認証が使われます。
SMSを活用したワンタイムパスワードは操作性に迷うことも少なく、手元のスマートフォンの有無も併せて確認できるため非常に便利です。

また、IDaaSはシングルサインオンやアクセス制限、パスワードレス認証など利便性と安全性を兼ね備えたシステムで、セキュリティ分野のノウハウが無い企業でもスムーズな導入・活用ができます。

IDaaSの機能

機能&特徴 導入効果
シングルサインオン
  • 特定のサービスへの認証機能を信頼し、他のサービスにもワンクリックでログイン可能
多要素認証
  • 生体認証
  • ワンタイムパスワード
  • クライアント認証
  • FIDO U2F認証
  • 利便性と安全性を両立
  • 精度の高い本人認証を実現
  • 内部犯行対策
  • 不正やコピーがしづらい認証方法を採用
ID管理・連携
  • AD上で行っていたアカウント情報を反映
  • クラウドサービスへのスムーズな移行を実現
  • 管理者の業務負担軽減
アクセス管理
  • 不正アクセスのリスク軽減
  • 内部漏洩対策
  • サイバー攻撃対策
ログ・レポート
  • 不正アクセスやサイバー攻撃の有無確認
  • IDaaSの状況把握
  • 内部漏洩防止

金融機関・ATM

銀行や証券会社など金融機関で高額な振り込みを行う場合、ワンタイムパスワードを活用したSMS認証が利用されます。
第3者によるなりすましや偽造カードでの不正利用を防ぐ効果があります。
また、コンビニATMでスキマ―を利用してクレジットカード情報を抜き取るスキミング防止対策にも効果があります。

電子決済

クレジットカードでの支払いやオンラインショッピングを利用する方々が増えてきたことへの対応策です。
PCやスマートフォンに不正アクセスを行い、獲得したクレジットカード情報やインターネットバンキングなどの不正利用をSMS認証の導入で防止します。

SNS

FacebookやInstagramなど、SNSを新たに登録して利用する場合にSMS認証が導入されています。
SNSのアカウントを乗っ取り、フィッシング詐欺やDDoS攻撃の踏み台などに利用される被害が増えているため、SMS認証を導入することでアカウント情報のハッキングを阻止します。
実際、インスタグラムの不正ログインは非常に増えています。

チケットサイト

アイドルの握手会やアーティストのライブチケットを何枚も購入し、高額での転売行為を阻止するためにSMS認証を導入します。
複数のID作成ができないよう、会員登録時に携帯電話番号と認証コードの入力を要求することで、複数IDの作成とチケット転売を防うことが可能です。

  • このエントリーをはてなブックマークに追加