IIJでは広報誌「IIJ.news」を隔月で発行しています。本blogエントリは、IIJ.news連載コラム「インターネット・トリビア」を転載したものです。IIJ.newsはご希望者へ郵送でお送りしています。また、IIJ WebではPDF版をご覧頂けます。
IIJ.news vol.154 もくじ
- ぷろろーぐ「内定制度」 鈴木 幸一
- 特別対談 人となり
三菱ケミカルホールディングス 取締役会長 小林 喜光 氏
IIJ 代表取締役社長 勝 栄二郎- Topics モバイル最前線
- 来たるべき5G時代に向けて
- モバイル通信の進化を振り返る
- モバイル技術の進化とSIMカード
- 新しいSIMのかたち
- ローカル5Gとは何か?
- IIJのローカル5Gへの取り組み
- IIJの海外事業者向けモバイルビジネス
- DeNA “DRIVE CHART”
- 人と空気とインターネット: IXと私
- Technical Now: IIJクラウドプロキシ設定自動化ソリューション for Office 365 事例紹介
- インターネット・トリビア: SMS認証は何のために行なうのか ※この記事で掲載
- グローバル・トレンド: 10年ぶりの上海とMWC Shanghai 2019
- ※連載「ライフ・ウィズセーフ」は、お休みします。
それぞれの記事はIIJ.news PDF版でお読み頂けます。
インターネット・トリビア: SMS認証は何のために行なうのか
先日、あるスマホ決済サービスにおいて大規模な不正利用事件が発生し、大きなニュースになりました。そのなかで「SMS認証を利用していなかった」ことはシステム側の不備ではないか? という指摘が寄せられました。この「SMS認証」とは、何のために用いられる手法なのでしょうか?
一般に「SMS認証」といった場合、次のような操作が行なわれます。まず、利用者がシステムに自分の携帯電話番号を登録します。次に、登録した電話番号にシステムがメール(ショートメッセージ)を送ります。そのメールにはランダムな4桁から6桁程度の数字が書かれており、利用者がその番号をシステムに入力することで「認証完了」となる、という手順です。
SMSとは「ショートメッセージサービス」の略で、メールアドレスではなく、電話番号宛てに送信できる簡単なメールのようなものです。SMSは、海外ではスマートフォン普及以前に携帯電話用のメールとして広く使われていましたが、日本ではもっぱらこうした「SMS認証」のために使われている印象があります。
SMS認証は、いかにも何かを確認しているようで、セキュリティを高めている気分になれますが、実は、同じ手順を踏んでいても、期待される効果が異なる、二つの使い方があります。
一つ目は、二段階認証の一つの要素としての使い方です。二段階認証は二要素認証とも呼ばれ、複数の異なる手段を使って利用者を確認して、安全性を高めるというものです。従来のコンピュータのシステムは、利用者の確認のためにパスワードを使うことが一般的でした。これは、あらかじめ指定した秘密の文字列を知っている人を本人だと判断する方法です。しかし少し前から、パスワードの一覧がシステムから盗み出されるといった事故が相次ぎ、パスワードだけではもはや利用者の確認には不十分だと言われるようになりました。そこで、他の方法でも利用者を確認して、安全性を高める方法が用いられています。通常、二段階認証では「記憶」(パスワードなど)、所有(スマートフォンなど)、生体(指紋や虹彩など)のなかから異なるカテゴリの方式を二つ以上選びます。「SMS認証」は SMSを送ることによって「今、この瞬間にスマートフォン(に登録された電話番号)を所有している」ということを確認します。もし、不正な第三者が認証を突破しようとしても、スマートフォンを持っていないので、認証を突破できません。
SMS認証の使い方の二つ目は、簡易な身元確認です。例えば、掲示板などへの書き込みの責任の所在をはっきりさせるためなど、利用者の身元をある程度、押えておきたい場合があります。正式な身元確認には身分証明書が必要になりますが、そういった手順は非常に煩雑です。そこで、身分証明書の代わりとして利用者の連絡先(携帯電話番号)を確認するために、SMS認証を使う場合があります。携帯電話番号は携帯電話会社が管理しており、利用者とのあいだには何らかの契約関係が存在しています。通常、携帯電話会社が電話番号から契約者の情報を開示することはありませんが、裁判所の命令により契約者の情報が開示されるケースもあり、一定レベルで身元を確認したものと考えられます。
このように、同じ手順を踏んでいても、SMS認証の目的が異なる場合があるのです。目的が異なることによって、SMS認証を実施するタイミングにも違いが出てきます。二段階認証のための SMS認証は、ログインする瞬間にスマートフォンを所有していることを確認しなければならないため、原則としてログインのたびに実施する必要があります。一方、身元確認のためのSMS認証は、確認した電話番号を記録しておけばいいため、例えば、会員登録時に一度だけ実施して、ログイン時には他の手段で認証を行なってもかまいません。
システムに SMS認証を導入する際には、どのような目的で認証を実施するのかを考慮して、設計しなければなりません。ただ闇雲に SMSを送信するだけでは期待した効果が得られなかったり、利用者にとって不便なシステムになってしまう可能性があります。