Special
» 2019年11月21日 10時00分 公開

セキュリティ対策は「バランス」で選ぶ:使いやすくて安心……身近なのに意外と知られていない「SMS認証」のメリットとは

オンラインで展開する多種多様なサービスを不正アクセスから守る上で「本人認証」は欠かせない。さまざまな認証方法の中から、セキュリティ強度や利便性、導入・運用コストなどを検討して目的に合わせた手段を選ぶ必要がある。

[PR/ITmedia]
PR

 「お金」が動くところには、必ず犯罪者が現れる。インターネットで狙われるのは、クレジットカード情報や銀行口座情報、ダークマーケットで売買される個人情報などだ。サイバー犯罪者は、ECサイトやオンラインバンキングサービス、チケット売買サイトなどに不正アクセスを仕掛けている。

 ユーザーによるパスワードの使いまわしが根本的な原因だが、1つのサービスでアカウントが乗っ取られると芋づる式に他サービスにも不正アクセスが広がる可能性は高い。サービス事業者にとって「ウチはしっかりとした体制を構築しているので、狙われないでしょう」という楽観は許されない。

 ユーザーの利益に直接関係するサービスにおいて、どのようにユーザーの情報を守っていけば良いか。

サイバーセキュリティ対策は事業者の責務、本人認証の重要性とは

 「セキュリティ製品の導入や脆弱(ぜいじゃく)性検査、セキュリティチームによる監視など多種多様な対策手法がありますが、本人認証におけるなりすましの防止は『基本中の基本』といえます」と語るのはユミルリンクの五十嵐 崇之氏だ。

五十嵐氏 ユミルリンク マーケティング本部 マーケティング課 五十嵐 崇之氏

 インターネット取引やオンライン決済がここまで普及していなかったころは、本人認証はIDとパスワードの組み合わせだけで済ませることが一般的だった。しかし現在はIDとパスワードのみの本人認証は不十分だと考えられている。

 総当たり式でパスワード破りを試みる「ブルートフォース攻撃」や、本物のサービスそっくりに作った偽サイトに誘導してIDとパスワードを盗み取る「フィッシング詐欺」、流出したパスワードリストを基に侵入を試みる「リスト型攻撃」などによって、実害が発生していることはご存じの通りだ。

 犯罪手法の巧妙化に伴い、「二要素認証(多要素認証)」や「二段階認証」の導入が進む。パスワードという「本人が知っている情報」に加えて、スマートフォンなどの「本人が所有しているもの」、指紋や顔、音声などの「本人自身の特徴」という要素を組み合わせる方法や「ログインはパスワードのみでできるが、決済の際に指紋認証を求める」といった方法で、なりすましのリスクを減らすのだ。

二要素認証の現実的な難しさとは

 ユーザーの立場からすると、二要素認証や二段階認証は、セキュリティを強化するための歓迎すべき取り組みだ。しかし、仕組みを提供するサービス事業者の視点に立つと話は変わってくる。

 サービス事業者は、セキュリティレベルの向上を目指しつつ、費用や既存システムとの連携、ユーザビリティなども検討し、バランスの取れた認証システムを導入しなければならない。対策費用を惜しむのは論外だが、エンドユーザーの使い勝手が悪かったり、追加の機器が必要だったりすると、誰にも使われなくなってしまうリスクもある。

大粒来氏 ユミルリンク マーケティング本部 マーケティング課 大粒来 大樹氏

 例えば、生体認証は非常に堅固だが、ユーザーが生体認証機能のあるデバイスを所有している必要があり、指紋認証や顔認証機能を搭載するスマートフォン、生体認証の専用デバイスなどの配布コストが課題となる。ワンタイムパスワードトークンを利用する方法は生体認証よりも安価に導入できるが、紛失や盗難のリスクや「端末を持ち歩く」「トークンアプリのインストール」など、ユーザーに運用の負荷がかかる。このように、認証手法にはそれぞれ一長一短がある。

 以上の課題を理解した上で着目したいのが、携帯キャリアのショートメッセージサービス(SMS)を用いた「SMS認証」だ。ユミルリンクの大粒来 大樹氏は「携帯電話の番号は、一人一人に強くひも付いています。SMS認証はセキュリティを高めつつユーザビリティを損なわない、スマートな認証手段です。また、既にメジャーな認証手段としてユーザーに広く親しまれているため、企業側が導入しやすいという特長もあります。」と説明する。

SMSとメールアドレス、ワンタイムパスワードトークン、パスワードカードとの比較

 SMSは、携帯電話のキャリア網を経由してメッセージを送信する技術だ。SMS認証はサービスへのログインや決済、振り込みといった重要な処理をする際に、あらかじめ登録した携帯電話番号あてに4〜8桁程度の数字をSMS送信し、ユーザーがその数字を入力したことをもって本人を認証する。

 個人が所有するデバイスで本人認証をする仕組みとしては、メールアドレスを使うもの、ワンタイムパスワードトークンを使うもの、物理的なパスワードカードといった方法がある。しかし、メールアドレスは1人のユーザーが複数のメールアカウントを使い分けたり、頻繁にアドレスを変更したり、PCやその他のデバイスからメッセージを確認したりできてしまう。また、ワンタイムパスワードトークンやパスワードカードは使うときにしか意識しないため、ユーザーが紛失や盗難に気付くのが遅れやすい。

 一方で携帯電話番号は、ナンバーポータビリティ(MNP)サービスの普及によって、頻繁な変更が起きにくくなった。ほとんどのユーザーは携帯電話を常に手元に置いていて、よほどのことがない限り他人が所持することはない。

SMS 現在、携帯電話はほぼ個人にひも付けられている

 こうした特徴は、そのままSMSで二要素認証・二段階認証をする際のメリットとなる。「電話番号さえ分かれば確実に本人に配信できる」からだ。スマートフォンだけでなくフィーチャーフォンにも届けられるし、紛失や盗難が起きた際には携帯キャリアに連絡して一時的に通信を停止し、SMSの送受信をストップできる。

 「認証の強度だけ見れば、SMS認証より優れた方式はあるかもしれません。しかし、セキュリティとユーザーの親和性、コストといったさまざまな面に加えて、SMS認証はセキュリティ強化とそれに伴うユーザーにかかる手間(利便性)とのバランスがとれた『手軽に行える確実な認証手段』といえます」(五十嵐氏)

手軽でスマートに使えるSMS認証を、分かりやすい料金体系で提供

 ユミルリンクは、SMS送信を簡単に導入できるサービス「Cuenote SMS(キューノート SMS)」を提供する。SMSは90%を超えると言われる高い開封率と携帯電話番号さえ分かれば送信できる手軽さに加え、電話番号は数字のみで構成されるので入力ミスが少ないという特長があり、本人認証はもちろん決済通知や督促といった顧客への重要な通知などの用途で活用されている。

 同社は長年にわたってメール配信サービス「Cuenote FC(キューノート FC)」を提供し、最大で毎時1000万通以上のスピード配信を実現する高速並列処理、顧客ごとの差し込み処理、クリックカウントといった技術やノウハウを蓄積してきた。その経験は、Cuenote SMSにも生かされている。

 意外と知られていない事実だが、インターネットを介したメール送信と違って、SMS送信網はキャリアごとに異なった仕様で構築されている。そのため送信者は、受信者の利用するキャリアに合わせて送信処理をしなければならない。ユミルリンクは各キャリアと直接接続し、独自のノウハウで配信先のキャリアを判別して、それぞれの仕様に合わせたSMSを配信できる。

 五十嵐氏は「当社は『キャリア直収』サービスを提供しているので、国際送信網を利用する際に発生するキャリアのアンチスパムフィルタリングにかからず、確実にユーザーの手元に届けられます」と強調する。

 既存システムとの連携を容易にし、SMS配信タスクをワークフローに組み入れるためのRESTful API対応や、シンプルで導入しやすい料金体系も強みだ。Cuenote SMSの費用はメッセージ送信成功数で決まり、1通当たり最大12円(送信件数によるボリュームディスカウントあり)。初期導入費用やAPI連携に要する費用は不要だ。

API連携 API連携によるSMS認証の仕組み

手軽で使いやすい強固なセキュリティ、活用の場はさまざまなサービスに

 手軽に高いセキュリティを実現できるというSMS認証の利点に着目し、Cuenote SMSを採用する企業が広がっているという。

 ある小売店は、自社会員の本人認証に利用しているという。「特にポイントやクーポンなど、金銭的価値を伴う特典を付与する会員サービスを展開している場合、会員登録に当たっては本人同一性の確認が重要です。SMS認証ならば、本人確認書類の提示や新たに個人情報を取得するなどユーザーへの負担を強いることも無く、すぐに完結するため、とてもスマートだと評価を頂いています」(五十嵐氏)。他にも、決済時の二段階認証に使うケースもあり、ニーズは確実に高まっているという。

 サービス提供事業者が不正アクセスからユーザーを守るのは、もはや社会的責任の一つといっていいだろう。「不便になるといけない」といってセキュリティ対策を怠っていると、利用者に大きな被害が生じ、企業全体が社会的信用を失いかねない。

 だが安全性を高めようとするあまり、システムが使いにくくなっては、ユーザーが離れてしまう。Cuenote SMSを活用したSMS認証は、そんなジレンマに悩む企業にとって有用な選択肢といえそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ユミルリンク株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2019年12月20日