【顧客情報を守る】ECサイトにSMS認証を導入しよう

【顧客情報を守る】ECサイトにSMS認証を導入しよう

SMS認証の仕組みと導入メリット～現代ECに不可欠な機能を知る

近年、多様なネットサービスの利便性は大いに向上し、私たちの生活に欠かせないものとなっています。一方で人々の依存が高まるにつれ、市場の拡大や影響力の大きさも相まって、悪意ある者によるサイバー攻撃や詐欺が増大、手口も日に日に巧妙化してきました。
ネット上にあふれる脅威に対するデータ保護やセキュリティ対策はビジネス上の大きな課題となり、たとえ小規模の事業者であっても、攻撃対象になりうることを意識した体制づくりが重要となっています。
‍
とくにECでは、顧客が個人情報や決済情報を入力する必要があるため、ハッキングや不正アクセスの攻撃対象として狙われやすく、大きな被害にもつながりやすいことから、十分な対策が不可欠です。
現在、インターネット上の脅威から情報を適切に守る手段として、二段階認証が広がってきています。今回はその中でもメジャーなSMS認証について解説します。

SMS認証とは？

SMS認証とは、通常のID・パスワードに加え、ユーザーの所有する携帯電話端末にSMS（ショートメッセージ）を送信し、そこに記載された確認コードの入力を求める二段階認証の仕組みの一つです。確認コードは4～6桁程度のものが一般的ですが、その個人が所有する携帯電話端末のみに通知されるため、登録された電話番号の端末所有者と実際にログインしようとしているユーザーが同一人物かどうかを確認・識別することができます。

SMS認証は、現代において非常に保有率が高く、常に身近にある携帯電話・スマートフォンさえあれば利用できる仕組みです。加えて、その認証手続きにおける操作もごく簡単ですから、ユーザーにかける負担を最小限にとどめつつ、セキュリティを強化できる利点があります。

SMS認証の仕組み

最初にSMS認証がどのような流れで進むのか、ここであらためて確認しておきましょう。

まず、ユーザーが本人確認を必要とする動作を所定のページで行おうとしたとします。第1段階としてIDとパスワードを入力してもらい、SMS認証画面へと進みます。あらかじめ登録された携帯電話の番号を用いるか、そこでユーザー自身に電話番号を入力してもらうか、いずれかの方法をとり、企業側はその電話番号が割り当てられた端末へ、発行した認証コードを送信します。
端末上でコードを確認したユーザーが、指定の画面で正しく入力を行うと、本人確認として認証が完了するという流れになります。では、この一連の流れがどのような仕組みで成立しているのか、ユーザー側・企業側のそれぞれが行う動作にそって見ていきましょう。

ユーザー側の利用の仕組み

ユーザーは、まずサービスサイトやアプリにアクセスし、ログイン画面でIDとパスワードを入力します。正しい組み合わせで入力されると、SMS認証画面に遷移し、初回は続いて携帯電話番号を入力していきます。一般的には2回目以降になると、電話番号は登録情報として紐付けられ、入力作業を省いて進められるようになります。
入力した電話番号が割り当てられた携帯電話・スマートフォンに認証コードが届くため、これを確認して認証画面に入力します。すると二段階認証が完了し、サービスの利用や手続きが可能となります。

電話番号は、メールアドレスのように簡単に作成したり変更したりできるものではなく、他人と同じものが発行されていることもないため、安心して利用できます。認証コードは使い捨てのワンタイムパスワードとして発行され、すぐにSMSで送られてきますから、その場で確認し、そのまま入力しさえすれば良い仕組みとなっています。

電話番号が間違っていたり、認証画面でコード番号を誤って入力したりした場合には、本人確認が正常に完了せず、サービス内に入ることはできません。また、認証コードには有効期限があり、その時間内に入力を終えなかった場合、無効となります。

企業側の利用の仕組み

続いて、SMS認証を導入している企業側から解説します。まず、ユーザーからSMS認証の要求を受け取ります。これを受け、API経由で認証サービス側に認証コードの発行・送信を依頼し、コードを記載したSMSを該当ユーザーに送信します。
API経由で認証コードの送達結果の通知と、ユーザーによって入力されたコードが正しいかどうか、確認した結果が届きます。その結果を受信し、正しければ認証完了、誤っていればエラーを表示させてブロックするという流れになります。

APIとは、Application Programming Interfaceの略称で、特定のサービスや機能の一部をシステムとして共有し、連携するための手段です。事業者向けなどとして提供されるSMS認証サービスを導入し、二段階認証で本人確認を行う場合、自社システムに組み込んだAPIから、ユーザーへと認証コードが自動送信されるようになります。

ECサイトにSMS認証を導入するメリット

ECはオンライン上で顧客とやり取りをする取引であり、インターネット上の脅威と常に隣り合わせにあります。そして、取引においては、秘匿性の高い個人情報や決済に用いるクレジットカードの情報など、重要なデータをしばしば保有し、管理する必要性が生じます。

そのため、利用する顧客にとっても、ECを運営する事業者にとっても、そのサイトは安心して使える高いセキュリティ性を保持していなければなりません。これがSMS認証に代表される二段階認証を必要とする第一の理由ですが、このほかにもECサイトへのSMS認証の導入メリットは複数挙げられます。主なものを解説しましょう。

高水準での乗っ取り・なりすまし対策ができる

SMS認証を導入すると、ID・パスワードのみの認証方式などに比べ、大幅にセキュリティ対策を強化でき、乗っ取りやなりすましによる被害を未然に防ぎやすくなります。

IDとパスワード、メールアドレスといったものだけに頼る認証では、それらの情報が攻撃者に取得されてしまった場合、簡単に不正アクセスを許してしまいます。とくに、ユーザーが様々なサイトやアプリを用いるために、IDとパスワードを使い回しているとリスクは大いに高まります。

フリーメールなどとは違い、審査を経て、その端末のみに付与された電話番号を用いるショートメールの場合、端末を紛失したり盗まれたりしない限り、確実に本人に届きます。そこにワンタイムパスワードとして機能する認証コードを直接送信する仕組みですから、不正利用される心配がほぼゼロとなります。
これを確認して入力してもらえば、第三者によるなりすましなどはおよそ防ぐことができるでしょう。こうして秘匿性の高い個人情報をしっかり保護することが可能になります。

ユーザーの負担が少ない

セキュリティを向上させる二段階認証には多様な手法があり、SMS認証以外の仕組みを利用することも理論的には可能です。しかし、手間がかかりすぎる手法では、ユーザーがサイトの利用自体を面倒に感じ、躊躇って離脱してしまう可能性が高まります。
そうした事態はEC事業者にとって、どうしても避けたいものですが、先述のようにセキュリティ対策も重要です。セキュリティの高さと利用開始にかかる操作負荷は、基本的に比例する傾向にありますから、いかに最適なバランスをとるか、ストレスになりにくい工夫を施すかがポイントとなります。

その点、SMS認証は普段からユーザーの側にあるであろう携帯電話・スマートフォンに自動で認証コードが送信され、とくに難しい操作もなく、確認して入力するだけとごくシンプルに完了させられる手法です。SMSのプッシュ通知はデフォルト設定されていますから、届いたことに気づきやすい良さもあります。
SMSを用いず、音声電話で二段階認証を行おうとすれば、ユーザーは音声ガイダンスで案内される認証コードを暗記したり、別にメモをとったりしなければなりません。音声が聞き取りにくい環境にある場合、誤認識してしまう可能性もあります。

トークンを用いた認証では、専用アプリが必要となりますし、指紋認証や静脈認証、顔認証などの生体認証では、精度の問題や登録の手間、場合によってはユーザー側にも専用機器が必要となってしまいます。
これらはSMS認証に比べ、誰もが簡単に利用できる方法とはいえません。よって、負担を最小限にしながら、利便性とセキュリティのバランスを考えた時、SMS認証が最善と考えられやすいのです。

導入・運用がしやすい

SMS認証は、ユーザー側が利用しやすいだけでなく、導入するEC事業者にとっても、二段階認証の中で取り入れやすい方法であり、手間やコストを考えても、最も無理なく運用を続けられるものといえます。

そもそも二段階認証は、IDやパスワード、秘密の質問とその回答など本人だけが知りうる知識要素と、携帯電話端末やICチップ、トークン、身分証明書、印鑑など本人だけが所有しているといえるものを用いる所有要素、指紋や顔、虹彩、声紋などその人固有の身体的特徴を使う生体要素の3分野から2つを組み合わせて行う認証方式で、手法としては様々な組み合わせが考えられます。

しかし、異なる要素分野からの2つを組み合わせる二要素認証の方が、ただ知っている、持っているだけではない、複合的な角度からの確認となるため、よりセキュリティ面で安全性が高く、厳密に個人を識別して本人確認を行うことができます。
よってID・パスワードと組み合わせるなら、所有要素か生体要素の認証要素を用いることが望まれますが、携帯電話を使うSMS以外となると、いずれも専用アプリやシステムの開発・構築、専用認証機器の導入が必要で、運用体制が整うまでに多額のコストや膨大な時間を要してしまいます。運用を開始しても、メンテナンス費用や技術的リソースの問題が生じやすいでしょう。

‍

直接対面して取引するものではないため、現実的に使えない手法を除いていくと、SMS認証に比べ、圧倒的に導入や運用のハードルが高いものばかりとなってしまうのです。SMS認証は、API連携可能なサービスを契約し、既存システムに追加実装するだけで導入でき、運用開始後も特別なメンテナンスが必要となりません。SMSの送信単価もキャリアや文字数によりますが、8円程度から可能と、コストを抑えて利用していくことができます。

アカウントの不正大量取得が防止できる

本来は1人1つのアカウントとしているにもかかわらず、同一人物が複数人になりすまし、不正に大量のアカウントを取得してサービスを利用しようとする場合があります。

こうした不正なアカウント取得を容易に可能としてしまうと、大量の不正注文やポイントの不正取得、転売、評価操作などの行為を許し、EC事業者として多大な損害を被るリスクが生じます。

IDと任意のパスワード、フリーメールも可能なメールアドレスのみで登録可能といった認証方式では、こうしたアカウントの不正な大量取得を防ぐことができません。しかし、SMS認証であれば、キャリア審査を通過した携帯電話番号を必要としますから、1人が大量のアカウントを取得することは困難になります。SMS認証は、大量の不正アカウント取得を防止することにも有効な手段となるのです。

SMS認証を導入する流れ

SMS認証を自社に導入する場合、まずはサービスを提供している会社を選定し、契約を行うのが基本となります。大まかには、その後、必要なシステム連携作業を行い、正しく動作するか運用テストを実施、問題がなければ本格的に運用を開始させるといった流れになります。各ステップのポイントを押さえつつ、流れを詳しく見ていきましょう。

サービスの選定と契約

SMS認証を導入するには、専門のサービスを利用するとスムーズです。しかし近年、ニーズの高まりを受け、多くの企業がサービスを提供しており、詳細な内容や仕様、料金などにそれぞれ違いがありますから、自社に最適なものを賢く選定することが重要です。特徴をつかんで絞り込み、複数社の候補を比較して決定すると良いでしょう。選定時にチェックしておきたいポイントは、次のような点となります。

■システムの連携方法

SMS認証を利用するには、自社システムとの紐付けを行わねばなりません。必要時にSMSを素早く自動送信するため、API連携を行いますが、そのために必要な工数などは選ぶサービスによって大きな違いが出る場合があります。

負担なく導入し、安定した運用を進めていけるよう、API連携がしやすいものを選びましょう。事前にシステム開発部門と連携し、各サービスのAPI仕様書を確認して、自社システムと相性の良いもの、実装における難易度が低いものを選定していきます。

■接続方式

SMS配信のサービスには、接続方式として「国内直収接続」のものと「国際網接続」のものの2種類が存在します。国内直収接続は、ドコモやソフトバンクなど主要キャリアの回線を経由しSMS送信を行う方式です。一方、国際網接続は、海外の回線網経由で送信を行います。

国際網接続の場合、昨今急増している海外からの迷惑メールへの対策により、自動送信のSMSがスパムメッセージとして、ユーザーにブロックされてしまう可能性があります。これに対し、国内直収接続であればブロックされる可能性が低く、到達率を高められるため、より確実性の高い認証サービスを構築できます。よって接続方式では、国内直収のものを選定しておくことをおすすめします。

■セキュリティとサポートの体制

SMS送信においては、認証手続きとして多くの顧客の個人情報を扱うこととなります。当然のことながら、サービス事業者側のセキュリティ体制が十分に整っていなければ、導入の意味がなく、安心して利用することができません。充実したセキュリティ対策がとられているか、第三者機関による認証を取得しているかなど、実績とともに確認しておきましょう。

また、不具合が発生した際など、すぐに相談できるサポート体制が整っていると、いざというときにも迅速に対処できます。優れた技術力をもって手厚いサポートで支えてくれるサービスを選んでおくと安心です。

自社システムとサービスのAPI連携

SMS配信サービスを選定し、利用契約を結んだら、自社システムとのAPI連携を行います。多くのサービス事業者では、連携作業を行うための仕様書やサンプルコードを提供していますから、それらをもとに機能実装の作業を進めましょう。

発行されたAPIキーとシークレットキーなどを用い、案内に従って簡単な開発を行えば完了できることがほとんどですが、不明点などが生じた場合には、提供元に問い合わせて解決を図るようにします。こうしたケースに備える面でも、サポートの充実したサービスを選んでおくことがおすすめです。API連携が完了すれば、SMS認証に必要なプログラムを1から組み上げることなく、SMSの自動送信ができるようになります。

運用テストの実施、正式稼働

API連携による開発が完了したら、問題なく動作するかテストを行います。認証ステップは非常に重要なサービスの窓口となる部分ですから、不具合がないか、確認のためのテストを慎重に繰り返しましょう。自社システムと連携し、ユーザーへと確実にSMS送信が行えているか、やりとりは遅延なく安定してできているか、入力を求める文面は分かりやすいか、認証コードの有効期限は適切に制御できているかといった点を中心にチェックを行います。テスト結果に問題がないことを確認できたら、晴れて正式に運用開始となります。

まとめ

顧客の個人情報や決済サービスをオンライン上で扱うECでは、最新のインターネット上の脅威にも対応できる十分なセキュリティ体制を整えておくことが大切です。安心して購入・利用を継続してもらえる環境を作り、将来的にもビジネスを成長させていきたいと考えるなら、SMS認証はぜひ導入したい仕組みといえるでしょう。IDやパスワードだけでは個人情報を守りきれなくなっている今、信頼される企業・ショップとして運用を続けるには、SMS認証を用いた二段階認証での対策が大いに必要となっています。

導入に向け、SMS配信サービスの比較や開発、セキュリティ全般についてなど、より具体的なアドバイスが欲しいと感じられた方もいるでしょう。そうした方には、EC運用のプロフェッショナルとして、豊富な知識と経験を持ったECのプロをおすすめします。ビジネス全体を見据えたサポートで、安心の体制を築くことができますから、ぜひ利用を検討してみてください。お問い合わせはこちら