多くのWebサービスにおいて、ユーザーにアカウント情報の登録を求める機会は大幅に増加しました。登録内容の中には銀行口座番号などの金融情報も含まれるため、ネットセキュリティを確実にしておく必要があります。情報が流出すれば、ユーザーに大きな損失を与えることになります。またユーザーだけでなく、事業者も社会的な信用を失いかねません。

その中で、アカウントセキュリティにおいて今注目されているSMS認証・電話番号認証による本人確認について、その仕組みやメリット・デメリットなどを解説していきます。

「SMS認証」とは？

SMS認証とは、スマートフォンや携帯電話の電話番号を使って送信できるSMS（ショートメッセージ）を利用して行う本人認証です。

事業者が導入するには、SMS認証サービス事業者に申込んだ後に、自社システムとのAPI連携が必要になります。しかし、新たに認証のための端末を導入する必要などはないため、比較的導入しやすい本人認証です。

ユーザーにとっても、SMSという身近なツールから本人認証できるため、手軽で行いやすい本人確認方法といえるでしょう。

SMS認証の流れを解説

電話番号で本人確認を行う「SMS認証」とは？仕組みを解説

スマートフォンや携帯電話の電話番号で本人確認ができるSMS認証とは、どのような仕組みで行われるのでしょうか。大まかな流れは以下になります。

ユーザーが電話番号を入力

電話番号宛にワンタイムパスワードを送信

ユーザーがパスワードを入力し、本人確認完了

SMS認証の手順について、流れに沿って詳しく解説いたします。

1.ユーザーが電話番号を入力

ユーザーは、アカウント登録時やアプリダウンロードの際に、フォームへ電話番号を入力して登録します。一方事業者は、ユーザーから電話番号の登録を受けた後、SMS送信サービスへAPIを経由してユーザーへSMS送信を依頼します。

2.電話番号宛にワンタイムパスワードを送信

事業者側はSMS送信サービスから、ユーザーが登録した電話番号宛に4桁あるいは6桁のワンタイムパスワードを送信します。

このとき発行されるワンタイムパスワードは使い捨てであり、使用できる時間は送信から1時間以内や24時間以内といった制限があります。

3.ユーザーがワンタイムパスワードを入力し、本人確認完了

ユーザーがSMSに届いたパスワードを要求された所定のフォームに入力すると、API経由で事業者へSMS送信サービスから結果が送られ、本人確認が完了します。

なぜSMS認証による本人確認が有効なのか

SMS認証はユーザーにとって手軽な認証方法です。SMS認証が本人確認になぜ有効なのか、その理由についてご説明いたします。

携帯電話番号は唯一無二のキーとなるため

ユーザーにとって利用しやすい本人確認方法であるため

一つずつ、詳しく見ていきましょう。

携帯電話番号は唯一無二のキーとなるため

携帯電話番号は、携帯キャリアから一定の審査を経て割り振られているものです。そのため、他人と被ることがありません。また、携帯電話はユーザー本人が常に所持している場合がほとんどです。

これらのことから、携帯電話は当人認証の中でも本人だけが持っているものである「所有物認証」の対象となり、本人確認の唯一無二のキーともいえるのです。

SMS認証によってパスワードを送信しても本人以外に届く可能性は低く、なりすましなどの不正利用を防ぐのに有効です。

ユーザーにとって利用しやすい本人確認方法である

スマートフォンや携帯電話はいつもユーザーの手元にあるので、時間や場所を気にせず本人確認をできるという手軽さがあります。

また、SMSはメッセージアプリと似たような使用感で利用でき、多くのスマートフォンの初期設定でプッシュ通知がONになっているため、ユーザーにとっては使いやすいツールです。
SMSで送られてきたパスワードを入力するだけという手軽さが、ユーザーの本人確認へのハードルを下げているといえるでしょう。

SMS認証のメリット・デメリット

SMS認証のメリット

SMS認証は事業者、ユーザーともにメリットが多い本人認証です。メリットとしては、次のような点が挙げられます。

本人以外にSMSが届くリスクが少ない

ユーザーにとって本人確認書類の準備などの手間がかからない

SMS開封率が高く、ユーザーサポートへの負担が少なくてすむ

まず、本人が所持しているスマホの電話番号宛にSMSが届くので、別人に届く可能性は極めて低くなります。

また事前に何かをインストールしなければならないといったことはなく、端末の種類にもこだわらないため、ユーザーの負担は少ないでしょう。

メールでは他の多くのメールに紛れて開封を先延ばしにされ、そのままになってしまうこともありますが、SMSはメインのやり取りに使われることは少ないため開封率が高くなります。その後はパスワードを入力するだけというわかりやすさから、ユーザーサポートへの問い合わせは比較的少ないと考えられます。事業者としては、ユーザーサポートへのコストを削減できるというメリットも生まれます。

SMS認証のデメリット

一方SMS認証のデメリットは、SMSを使えないユーザーも存在するということです。

例えば、SMS対応をしていない携帯電話のユーザーは利用できません。特に格安SIMの利用者は、SMS利用ができない場合や電話番号自体を付与されていない場合があるため、SMS認証に対応できません。

こういったケースには、自動音声による電話での認証やメールでの認証を合わせて行うことが有効になります。また、オンライン本人確認eKYCでもこのデメリットをカバーできます。eKYCについては、改めて詳しく解説いたします。

「二段階認証」と「二要素認証」の違い

「二段階認証」とは

二段階認証とは、アカウントセキュリティを強固にするために「二つの段階を経て行われる本人認証」のことをいいます。具体的にいうと、はじめにIDとパスワードの入力をして本人認証後、さらに別の形式でもう一度認証をします。

SMS認証は事業者にとって導入しやすく、ユーザーにとっても利用しやすいため、この二段階認証によく利用されています。二段階認証はGoogleやYahoo!、Amazonなど大手ネットサービスで利用されていることが多いですが、金融機関での振込時やチケット販売で大量購入を防ぐ対策などにも使われています。

「二要素認証」とは

「異なる二つの要素を組み合わせて本人確認を行う認証方法」を「二要素認証」といいます。二段階認証では、段階を二つに分けていればその要素は同じものでも構いません。一方、二要素認証では、認証で使われる二つの要素は異なるものでなければならないのです。

二要素認証の種類は、大きく分けて以下の三種類です。

知識認証

所有物認証

生体認証

二要素認証は二段階認証より、強固なセキュリティを望めますが、それぞれデメリットも存在します。ここから、詳しく見ていきましょう。

【二要素認証】知識認証

ID・パスワードや電話番号、秘密の質問といった、本人だけが知っている知識によって認証を行う方法です。

デメリットとしては、登録から時間が経っているものだと忘れてしまっていることがあることや、総当たり攻撃で認証をパスしてしまう可能性があることがあります。

【二要素認証】所有物認証

IDカードやワンタイムパスワードを発行するトークンなど、本人だけが所持している所有物によって認証を行う方法になります。

他者の手に入れば容易に使われてしまうことや、持ち歩く機会が少ない場合は紛失するデメリットもあります。

【二要素認証】生体認証

顔や指紋、目の虹彩などの生体的特徴によって本人認証を行う方法です。eKYCでよく利用される認証方法で、なりすましが難しいため本人確認に高い有効性を持ちます。

高精度の画像認識ができる端末などの導入が必要になる場合があり、単独では導入が簡単ではないのがデメリットです。

本人確認や認証レベルについては下記の記事でより詳細に解説しています。

本人確認にはどのようなレベルがある？求めるセキュリティごとの要件を解説｜株式会社ネクスウェイ自社サービスに適した本人確認手法を選ぶ時、リスクに応じた手法を選ばなければいけません。eKYCならば、さまざまなセキュリティレベルに対応が可能です。この記事では、本人確認のレベルとそれぞれに求められるセキュリティの要件について詳しく解説します。ネクスウェイ本人確認サービス／株式会社ネクスウェイ

スマホ一つでできる本人確認なら「eKYC」も！

SMS認証は、スマホ一つでできるのが大きなメリットです。しかしeKYC（オンライン本人確認）も、スマホがあれば場所や時間を気にすることなく本人確認を行うことが可能です。

SMS認証では、格安SIMの利用者で電話番号を持たないユーザーは利用できないというデメリットがありました。一方eKYCはアプリやブラウザから行うことができるので、スマホでインターネットに接続できれば問題ありません。

加えて、eKYCとSMS認証の二要素認証を取り入れることにより、高度なセキュリティ対策を実現。SMS認証のデメリットをカバーすることができるのです。

例えば、株式会社ネクスウェイではeKYCシステムをクラウドで提供する「ネクスウェイ本人確認サービス」だけではなくSMS配信サービス「SMSLINK」も提供しています。

キャッシュレスが一般化した現代社会では、不正な出金を防ぐ高度な対策が今後ますます求められることでしょう。ネクスウェイなら、eKYCとSMS認証のソリューションを組み合わせて、安全性と利便性を両立させた本人確認の仕組み作りを実現します。

ここからは、eKYCについて、

eKYCによる本人確認の流れ

eKYCの強み

以上を紹介していきます。

eKYCによる本人確認の流れ

eKYCでよく使われる手法は、eKYC時の本人容貌画像と顔写真付きの本人確認書類の画像送信を受ける方法です。以下にて簡単な流れを紹介します。

【ユーザー側の手順】

指示に従い顔写真の撮影をする

本人確認書類の裏表を撮影する

本人確認書類の厚みを撮影する

必要内容を事業者へ送信する

【事業者側の手順】

写真を受信する

写真と書類内容の突合を行う

事業者が提供するアプリ、あるいはブラウザから本人の容貌画像と、本人確認書類の表・裏面、及び厚みなどを撮影し、画面の指示に従って送信します。送信する画像はカメラロールなどに保存されているものは使用できず、確認時に撮影されたもののみになります。また偽造されたものでないかを確認するため、ユーザーは本人確認書類の厚みの画像も送信します。

ユーザーから送信を受けたら、事業者側で容貌画像と本人確認書類の写真が一致するか、内容に矛盾はないかなどの目視確認や突合の後に本人確認完了になります。

この本人確認手法は、犯罪収益移転防止法（犯収法）で認められた要件に準じた方法です。金融機関や不動産事業者など、多くの事業者で採用されている方法になります。

eKYCの仕組みと安全性についてより詳しく知りたい方はこちらの記事もご覧ください。

eKYCの仕組み。安全にオンライン本人確認ができる理由とは｜株式会社ネクスウェイ金融機関などの犯収法特定事業者に関わらず、サービス提供や販売など他の多くの事業者にも注目されているeKYC。なぜ、eKYCによって本人確認がオンライン上で完結できるのか、仕組みについて解説していきます。ネクスウェイ本人確認サービス／株式会社ネクスウェイ

eKYCの強み

eKYCの強みとしては、犯収法に準拠した本人確認方法なので、信頼性が高いところが挙げられます。所有物認証と生体認証を合わせた二要素認証であることからも、なりすましや不正利用を防ぐ可能性が大きく高まります。

オンライン上で全て完結するeKYCは、ユーザーにとって利便性が高いため、アカウントセキュリティを強固にしながらもユーザー離脱を防ぐことができるのです。

犯収法と呼ばれる「犯罪収益移転防止法」という法律についてはこちらの記事でより詳しく解説しています。

e犯罪収益移転防止法とは？概要や本人確認（eKYC）の要件について｜株式会社ネクスウェイ「犯罪収益移転防止法」という法律が2007年に制定されたことによって、オンライン本人確認「eKYC」というサービスが普及しました。スマホで顔写真と身分証を撮影するeKYCは、この「犯収法」によって要件が定められています。犯収法について詳しく解説します。ネクスウェイ本人確認サービス／株式会社ネクスウェイ

eKYC導入なら「ネクスウェイ本人確認サービス」

eKYC導入を検討されるなら、「ネクスウェイ本人確認サービス」をおすすめします。eKYCだけではなく、本人確認に必要な業務全般をパッケージで提供しているため、初めて導入される事業者様にも安心してご利用いただけます。

ネクスウェイ本人確認サービスなら、eKYCシステムを通して送信された本人確認書類の目視確認、突合などの業務もBPOサービスを提供しています。そのため、eKYC業務をワンストップで任せることができます。

コスト面でも、利用した分だけ料金がかかる従量課金制なので、時期によってユーザー数が変動しても無駄なくご利用いただけます。

→ネクスウェイ本人確認サービスの資料を見てみたい

まとめ

電話番号による本人確認について詳しく解説いたしました。ユーザーにとってなじみやすく、事業者にとっても導入しやすいSMS認証はアカウントセキュリティを高めるために効果的な本人認証です。電話番号は本人のスマホと紐付けられているため、電話番号を利用したSMSは本人以外に届くリスクが極めて低いことが大きなメリットでしょう。しかし一方で、電話番号を持たないユーザーは利用できないというデメリットも存在します。

＊＊＊

eKYCでは、電話番号の有無に関わらずSMS認証と同様にスマホだけで本人確認ができます。犯収法に準拠した本人確認方法であることから信頼性も高く、ユーザーにとっても利便性の高いeKYCは、SMS認証と同様にアカウントセキュリティを高めるのに有効な本人確認方法です。

eKYCの導入ならば、本人確認業務をワンストップでアウトソーシングし効率化できる「ネクスウェイ本人確認サービス」をぜひご検討ください。

→ネクスウェイ本人確認サービスの資料を見てみたい

はじめてのeKYC入門ガイド