あると便利なSMS、手軽かつ「安全」に実装するには？ あるベンダーが出した答え

店舗などでの順番待ちの連絡やユーザー認証といった「手軽に済ませたいけれど、高い機密性も必要」なやりとりの手段としてSMSがある。だが、SMS機能を既存システムに実装しようとすると、意外にハードルが高い。SMS機能の迅速な実装や運用管理負担の軽減には何が必要なのか。

[PR／ITmedia]

PR

　ITシステムやサービスにおいて「用途は限られるが、あると便利な機能」へのニーズは往々にして目立ちにくい。用途が限られニッチであるためITベンダーが提供することは少なく、ユーザー企業が開発しようとしても費用対効果が見込めない可能性もある。仮にベンダーから提供されていても、高過ぎて手が出しにくいというケースもあるだろう。

　このような「あると便利な機能」の注目すべきところは、それらが既存の仕組みに組み込まれることでサービスの品質が大きく向上したり、新しいサービスの開発につながったりする場合があることだ。必要性に気が付きにくいが、利用しているうちになくてはならないものになる。

　こうした「気の利いた、あると便利な機能」の一つに、携帯電話やスマートフォンなどにショートメッセージを送信するSMSがある。

SMSを使った「あると便利なサービス」実装に立ちはだかる課題

　「SMSを活用できたら便利」なシーンは意外とある。例えば、病院や店舗で順番待ちをする患者や来店者の密集を避けるため、「あなたの順番は○○分後です」とSMSで通知してから来てもらう場合だ。

　テレワークが普及する昨今、社内の業務システムに外部からアクセスする際にもSMSを利用できる。ログイン時にSMSを送ってユーザー認証をし、不正ログインを防ぐ使い方もある。

　ビジネス用途のショートメッセージの送信サービスは、顧客向けのダイレクトマーケティングを目的としたものが中心だ。企業のサービスに組み込み可能な機能としてショートメッセージを提供するサービスもあるが、既存システムに実装しようとすると工数が増える傾向がある。

「さくらのクラウド ショートメッセージサービス（SMS）」が着目する3つの課題

　既存システムに組み込みやすく、さまざまな用途に適用しやすいSMSを提供するのがさくらインターネットだ。同社の重藤正憲氏（クラウド事業本部　クラウドサービス部　部長）は「携帯電話からインターネットを使う人が増える中、SMSを利用したメッセージングサービスのニーズが高まっています」と話す。

さくらインターネットの重藤正憲氏

　同社は「さくらのクラウド」のオプションとしてショートメッセージサービス（SMS）（以下、さくらのクラウド SMS）を提供している。このオプションは、企業がSMSを利用する際に抱えがちな課題を解消する。

　重藤氏によれば、企業がSMSを自社システムに組み込んで利用する際の課題は大きく分けて3つあるという。

　1つ目は、実装工数とコストの増加だ。顧客向けまたは社内向けサービスを開発する際、始めからSMSを要件として挙げるケースはまれだ。ダイレクトマーケティングを目的として頻繁に送られるメッセージはスパム扱いされることが多く、SMS自体をサービスとして実装するケースは珍しい。

　そのため、PaaS（Platform as a Service）の機能を後から組み込むことになり、結果的に必要な作業が増えて余計な手間やコストが発生してしまう場合も多い。既存システムにSMSを組み込むにしても、アプリケーションの改修が必要になったりAPIや仕様に沿った実装が必要になったりするため、コストは増加しがちだ。

　2つ目は、信頼性やセキュリティの確保だ。SMSはスマートフォンの電話番号に直接メッセージを送信するサービスであるため、送信元がなりすましではない点を明示し、信頼性を確保する必要がある。機密性の確保や情報の保護などのセキュリティ対策も必須となる。

　特に本人認証でSMSを利用する場合は、送信するワンタイムパスワード（OTP）を第三者に読み取られないようにし、第三者に誤送信しないようにするための強固なセキュリティ対策が必要になる。認証を強化するために導入しても、認証自体に不備があっては本末転倒だ。

　3つ目は、使い勝手と利便性の確保だ。SMSはセキュリティ強化やユーザーの満足度向上などさまざまな効果が期待できるが、それによって開発者や運用者の負担が増えると運用管理が難しくなり、ユーザーの不満も高まってしまう。

　例えば、SMSで二要素認証を実施する際にサービスが遅延し、OTPがいつまでたっても送られてこないとユーザーの使い勝手や満足度は著しく落ちてしまう。それによって、サービスを開発、管理する開発者や運用者の負担も増すという悪循環に陥ってしまう。

「二要素認証機能」「メッセージ配信機能」を提供

　さくらのクラウド SMSは、グループ企業のBBSakura Networksが開発した「二要素認証機能」と「メッセージ配信機能（任意の文字列を送信する機能）」の2つの機能を、さくらのクラウドのオプションとして提供する。さくらのクラウドユーザーがオプションとしてすぐに使えるメリットの他、それぞれの機能が利便性と安全性を意識した特徴を持つ。

さくらのクラウド SMSの概要（出典：さくらインターネット）

　二要素認証は、アプリの本人認証や振込時のOTPなどに利用可能な機能だ。「さくらのクラウド二要素認証プラットフォーム」がユーザー企業のシステムからコントロールパネルあるいはAPI経由でOTPのリクエストを受けると、6桁の認証番号を生成してエンドユーザーに送信する。

二要素認証用の認証番号生成画面（出典：さくらインターネット）

　BBSakura Networksの山口亮介氏（取締役　COO：最高執行責任者）は、二要素認証機能のポイントについて「お客さまのシステムにショートメッセージ送信の仕組みを新たに構築する必要がなく、既存の認証基盤に二要素認証を追加することで、より強固なセキュリティを実現できる点が特徴です」と話す。

　メッセージ配信機能は、国内通信事業者（NTTドコモ、KDDI、ソフトバンク、楽天モバイル）が取り扱う携帯電話に任意の文章をメッセージとして送信する機能だ。最大文字数は70文字（各社共通）で、「マルチバイトオプション」機能を無効化した場合は140文字だ。

　「1秒で最大20通までメッセージを送信できるため、さまざまな用途で利用できると考えています」と、山口氏は話す。

BBSakura Networksの山口亮介氏

コスト、セキュリティ、使いやすさの課題を解消へ

　さくらのクラウド SMSは、上述した企業の3つの課題をこれら2つの機能でどう解決するのか。

　工数とコストの課題については、さくらのクラウドのコントロールパネルで操作できる点がポイントだ。

　コントロールパネルの左側のメニューで「ショートメッセージ」「二要素認証SMS」を選択すると、リソースの一覧画面が表示される。BBSakura Networksおよびさくらインターネットが提供するテスト画面（注）においては、リソースを選んで宛先と送信者である自社の名前を確認し、「SMS送信」をクリックするだけでエンドユーザーに6桁の認証番号が送られ、履歴も一覧からすぐに確認できる。

※注：実際に利用する際には、動作環境によって多少UIが異なる。

　「お客さま側で動作する認証基盤と即時に連動することが前提のサービスですから、API経由での利用をお勧めしています。APIを利用することで、運用負担を削減できます」（重藤氏）

　信頼性やセキュリティの課題については、企業ごとに「所定の申し込みと審査」を実施する。書面審査を経て、サービスの利用を始められる仕組みだ。APIの不正利用があったり単位時間当たりの送信件数が限度を超えたり、迷惑メールと見なされる内容が送信されたりした場合、さくらのクラウドが利用を制限する。

　送信元として表示される送信者名は任意のものに設定できる。自社ブランド名を送信元としたSMSを配信できるため、信頼性と開封率の向上も見込める。

　使い勝手と利便性の確保については、コントロールパネルやAPIによって、開発者や運用者のさまざまなニーズに応えられるようにした。6桁の認証番号の生成方法は自動生成と手動生成を選択できる。特定のフォーマットのショートメッセージを携帯電話が受信することで、表示されているWebサイトのフォームにOTPを自動入力するWebOTP API向けのフォーマットにも対応する。GitHubやYahoo!も同様の仕様を持つSMSを採用している。BBSakura Networksおよびさくらインターネットは、最新の仕様を積極的に採用することで利用者の利便性向上や運用、開発工数の削減を図る。

　BBSakura Networksおよびさくらインターネットは今後、さくらのクラウド SMSの利用コストやセキュリティ、使いやすさのメリットを強化し、企業が抱える社員や顧客とのコミュニケーションのニーズに応えることを目指す。

　「これまでさくらインターネットが培ってきたノウハウを生かし、SMSを使ったサービスの品質向上や改善の他、新しいサービスを開発していただきたいと考えています」（重藤氏）