今では、多くのWebサイトやクラウドサービスがモバイルアプリケーションに対応しています。また、インターネットバンキングやよく利用されるSNS、コンシューマ向け情報サイトなどでは、会員情報の保護の観点でより強化なセキュリティー実装が注目されています。
その中で、注目されている手法が二要素認証による個人認証であり、中でもSMSログインは、その利便性と本人確認の高さからも、非常に多くのサービスで利用されています。
そこで本稿では、このSMSログインについてその効果や利用時・導入時の注意点についてご紹介いたします。
そもそもSMSログインとは?
SMSとはShort Message Serviceの略で、携帯電話のデータ通信機能を利用したサービスの一つです。旧来、携帯電話の主たる用途は音声通話にあり、その回線の利用として普及したのがデータ通信サービスです。そのため、SMSそのものは歴史があり、決して最新の技術を利用したものではありません。
ところが、現在のスマートフォンの普及と共に、「なりすまし」や「アカウントの乗っ取り」など、スマートフォンを中心としたモバイルアプリを狙った悪質なサイバー攻撃があとを立ちません。そこで現れたのが、SMSの信頼性を利用した個人認証=SMSログインです。
スマートフォンは手続きする段階で、本人認証が確実に行われているため、端末自体が非常にセキュリティ強度の高いクレデンシャルと言えます。
さらに、SMSが送信されるネットワークは、いわゆる公開されたインターネット経路を辿るものではなく、各キャリアが用意した独自ネットワークを使用するため、配信される情報のインターネットと比べるとセキュリティ強度が高い経路を利用し、さらに端末認証を経て受診されるデータであることから、非常に信頼性の高い認証を行うことが可能となります。
一方でその利用方法は?と言えば、特別な設定をする必要がなく、会員情報として携帯電話の番号を予め情報として登録しておくだけで、サイト側から自動的に携帯電話に対して、SMS経由でワンタイムのパスコードが送られるだけの仕組みであり、受信したコードをアクセスするサイトに入力すれば、認証が完了する仕組みで、利用するユーザの負担も最小限に止めることが可能です。
Yahoo! JAPANに代表される情報サイトのみならず、顧客情報を管理する事業者や一般企業においても、ISMSやISO27001などの情報セキュリティガイドラインに従い固定パスワードを避ける流れは強まっており、SMSログインを含めた二要素認証認証、様々な認証を用いた多要素認証の導入が勧められています。
優れたCX を実現する「顧客データ」活用のあり方を探る
顧客接点の多様化を味方につけて差別化が難しいデジタル時代を生き抜く
顧客接点のオムニチャネル化が進む今、顧客エンゲージメントの強化やロイヤルカスタマーの育成は、あらゆる企業にとって共通の重要課題です。多くの企業は以前からCRM などのIT ソリューションを活用することで顧客対応の最適化を進めてきました。
しかし、デジタル化がさらに加速する現在では、顧客対応においてどのようにデータと向き合い、どのように顧客体験を向上させていけばよいのでしょうか。オイシックス・ラ・大地株式会社 奥谷孝司氏とSAP ジャパン株式会社 富田裕史氏の対談から、その方向性を探ります。
SMSログインの特長
では、改めてSMSログインを検討する上で、そのメリットとデメリットについて整理して紹介します。
メリット
SMS認証の最大のメリットは、ユーザの利便性を損なわず認証強度を高めることができることにあります。
2016年の情報になりますが、IPA(独立行政法人情報処理推進機構)が公開した「2016年度情報セキュリティに対する意識調査」では、
"パスワードは誕生日など推測されやすいものを避けて設定している”割合は年々減少し、3年前と比較し約10%減"
と報告されている一方で、
"管理しているID(アカウント)の数について最も高いのは、「1種類」(27.1%)である。次いで「2種類」(15.1%)、(後略)"
と同一IDの使い回しが一般的担っている事実もあり、SMSログインと組み合わせることで、IDを分けることなく、認証強度を高めることができます。
また、利用者・事業者双方のメリットと言えるのは、パスワード設定を行う必要がなくなることにより、パスワードロックやリセットと言ったパスワード管理に関わる手間から解放される点も挙げられます。
特に、事業者にとっては、パスワードリセットのためだけにヘルプデスクを設置するなどの人件費やシステムコストを抑えることができるばかりか、パスワードリセットされたユーザが離反することによる、機会損失も低減することができます。
デメリット
一方で、SMSログインで指摘されるデメリットとしては、SMS送信を利用する際の送信量で、受信料は無料が一般的ですが、送信量は発生します。NTTドコモが公表しているSMS送信量は以下の通りです。
| 送信文字数 | 1回あたりの料金(税抜) |
|---|---|
| 1~70文字(半角英数字のみの場合1~160文字) | 3円 |
| 71~134文字(半角英数字のみの場合161~306文字) | 6円 |
| 135~201文字(半角英数字のみの場合307~459文字) | 9円 |
| 202~268文字(半角英数字のみの場合460~612文字) | 12円 |
| 269~335文字(半角英数字のみの場合613~765文字) | 15円 |
| 336~402文字(半角英数字のみの場合766~918文字) | 18円 |
| 403~469文字(半角英数字のみの場合919~1071文字) | 21円 |
| 470~536文字(半角英数字のみの場合1072~1224文字) | 24円 |
| 537~603文字(半角英数字のみの場合1225~1377文字) | 27円 |
| 604~670文字(半角英数字のみの場合1378~1530文字) | 30円 |
パスコードに利用される文字数は5〜7文字が一般的であるため、1回あたり3円となります。認証の都度、3円かかるためユーザ利用状況を把握した上で、コストを算出しておく必要があり、システム導入のためのコストに留まらず、SMS送信にかかるコストも想定に入れておく必要があります。
また、SMS送信は端末の仕様でなく、契約しているキャリア会社によって提供されるサービスです。多くの通信会社がサポートしているため、そのカバー範囲は広範囲に及ぶもののの、格安SIMや一部の海外回線、ローミング利用時などで送受信が行えない場合もあり、代替案と合わせて認証を行う準備も必要となります。
まとめ
いかがでしょうか?スマートフォンの普及により、多くのサービスにログインする場面が増えています。個人情報を管理する立場であるサービス提供事業者としては、ユーザのストレスを限りなう下げることで利便性を高めつつも、高いセキュリティ強度で確実なユーザ認証を行うことは、サービスの品質向上に加え、不正ログインやセキュリティ事故の防止にもつながります。
そのため、最適なユーザー認証基盤の構築は、安定したサービス提供に不可欠な要素と言えます。SAPが提供する「SAP® Customer Data Cloud」では、個人情報保護の徹底と顧客データの活用を両立する唯一のクラウドソリューションです。全世界34のSNSに対応したソーシャルログインやGDPRを含むグローバルスタンダードな顧客主体の情報管理ポリシーに対応しています。
