会員サイトのログイン機能とは？仕組みや利用のメリット・セキュリティ面の違いを解説

会員サイトでは、本人が利用していることを確認するために「ログイン機能」を設置する必要があります。会員サイトのログイン機能のうち代表的なものについて、メリットとセキュリティ面、導入の際の注意点などを解説します。

会員サイトの「ログイン機能」の仕組みとは？

会員サイトの「ログイン機能」とは、会員サイトを利用しようとしているユーザーが誰なのかを識別する、「ユーザー認証」を行うための機能をいいます。

ユーザー認証では、会員サイトが通信してきたユーザーに「本物だと示す証拠」を要求します。その要求に対しユーザーが証拠を返信できれば認証は完了し、ユーザーが会員サイトにアクセスできるようになります。

本物だと示す証拠は偽造の難易度が上がるほど、安全性が高まります。一方で悪意ある攻撃者から会員サイトを守るためにユーザー認証とログイン機能の仕組みを複雑にすると、システム全体が複雑になってしまいます。

合わせて読みたい記事「ログイン機能とは｜仕組みや必要性、実装時の手順について」

会員サイトにログイン機能を導入する必要性

会員サイトにおけるログイン機能は会員ではない人、サイトの利用権限のない人からアクセスされるのを防ぐ役割があります。

多くの場合、データの盗難や破壊、改ざんなどは外からの侵入者によって引き起こされます。会員サイトでは会員の個人情報を扱いますから、適切に管理して流出しないように保護する必要があります。そのため、会員サイトの入口に検問所にあたるログイン機能を設置し、ユーザー認証を行うことが大切です。

会員サイトのログイン機能に求められるものは何か

会員サイトではユーザー登録機能を設置し、新規登録者から以下の情報を取得します。

• メールアドレスや電話番号などの連絡手段
• 氏名と住所、年齢などの個人情報
• 認証情報（ユーザー名（ID）とパスワードなど）

ユーザーはログイン機能で認証情報を入力し、会員サイトにアクセスします。

そして会員サイトはユーザーから取得した情報をサーバーで適切に保管し、ユーザーが認証情報を使ってログインできる機能を提供します。併せてユーザーが複数アカウントを無制限に作成できないようにする機能や、会員登録時にメールやSMSなどで確認メールを送る機能も必要でしょう。

会員サイトのログイン機能別のメリットと安全性

会員サイトで使われているログイン機能5つについて、仕組みとメリット、セキュリティ面の安全性を紹介します。

1.ユーザー名＋パスワード認証

「ユーザー名＋パスワード認証」は会員サイトだけでなく、インターネットの多くのサイトやサービスで使われているログイン機能です。ユーザーはログイン画面で設定したユーザー名（ID）とパスワードを入力し、ユーザー認証を行います。

手軽にログインできるのがメリットですが、ユーザーの記憶力の限界から近年はセキュリティ面で不安が大きいといわれており、ほかのより安全な手段に移行しつつあります。

ユーザー名＋パスワード認証のメリット

ユーザー名とパスワードを組み合わせた認証方法は、ユーザーがその2つを覚えてさえいればかんたんに利用できるのがメリットです。認証のためにほかのサイトやアプリなどに遷移する必要もなく、ログイン画面の操作だけで会員サイトにアクセスできます。

ユーザー名＋パスワード認証はセキュリティ面で安全なのか

ユーザー名＋パスワード認証において、パスワードはユーザーが任意で設定できるため、他者に類推されないような複雑な文字列を設定してくれるとは限りません。しかも設定したパスワードをどう管理するかもユーザーに委ねられているため、パスワードのメモ書きを他人が見られる場所に置くようなケースも多くあります。

サイトによっては、パスワードの安全性を高める狙いで定期変更を求める、一定期間利用したパスワードを使用不可にするものもありますが、どんなパスワードを設定するかはユーザー次第です。複数のパスワードを覚えられないユーザーがほかのサイトのパスワードを使い回す、「Ab1c」から「aB1c」程度の変更で暗号強度が低いままなど、逆に第三者から攻撃されるリスクを高める恐れもあります。

2.メール認証

「メール認証」とは、ユーザーのメールアドレスを使ってユーザー認証を行う方法をいいます。認証画面でユーザーがメールアドレスを入力すると、そのアドレス宛に一時URLが送信されます。そしてユーザーがそのURLからサイトへ遷移すると、ユーザー認証が完了です。

Slackなどでは、「マジックリンク」の名称でメール認証を採用しています。

メール認証のメリット

メール認証はユーザー名＋パスワード認証とは違い、パスワードが盗まれる心配がないのがメリットです。ユーザーが入力するものはメールアドレスだけでよく、本人確認もすぐにできます。

メール認証はセキュリティ面で安全なのか

メール認証に用いるメールアドレスは、ユーザー名＋パスワード認証で使うメールサービスによって提供されることがほとんどです。そのようなメールサービスを使うと、結局はユーザー名＋パスワード認証と同じリスクがともないます。

ですが、プロバイダが提供するメールサービスは比較的強力なパスワードを求められることが多く、Gmailではパスワードに不正ログイン対策をプラスしています。そのため会員サイトだけで行うユーザー名＋パスワード認証よりは、安全性は高いでしょう。

3.ソーシャルログイン

「ソーシャルログイン」とは、ユーザーがすでに登録しているSNS（ソーシャルネットワーキングサービス）のアカウントを利用するログイン機能をいいます。ソーシャルログインに用いられるSNSのうちもっとも利用されているのはLINEで、他にYahoo! JapanやFacebook、TwitterやGoogleなどがあります。

ユーザーは会員サイトの新規登録時に紐付けたいSNSサービスを選び、そのユーザー名（ID）とパスワードでログインします。ユーザーの利便性の高さから、多くのWebサービスに導入が進んでいます。

ソーシャルログインのメリット

ソーシャルログインは新規登録時に紐付けするSNSのユーザー情報を流用できるため、ユーザーが会員登録の手間を省けるメリットがあります。

また、ユーザー認証には使い慣れたSNSのユーザー名とパスワードを使うため、利便性が高いと感じるユーザーは多いでしょう。加えてGoogleやFacebookを利用していればそれらが提供する二段階認証を利用でき、セキュリティ面で安心です。

ソーシャルログインを用いる会員サイトにとっては、セキュリティ対策をSNSに頼れるため、コストが削減できるのがメリットです。会員登録で離脱してしまうユーザーが減る上に、連携するSNSによっては詳しいユーザー情報を得られます。

ソーシャルログインはセキュリティ面で安全なのか

ソーシャルログインで連携するSNSもユーザー名＋パスワード認証のものが多いため、セキュリティ面で同様の不安はあります。

そしてソーシャルログイン機能でSNSから取得した個人情報は、会員サイトで管理します。取得する個人情報のデータ範囲を必要以上に広げてしまうと、万が一会員サイトがハッキングなどに遭って個人情報が流失してしまったら、被害が拡大する恐れもあります。

4.SMS認証

「SMS認証」とは、携帯端末の電話番号宛に送信できるSMS（ショートメッセージサービス）を使うログイン機能をいいます。ユーザーが会員サイトのログイン画面でユーザー名（ID）をパスワードを入力すると、認証コードがSMSで送信されます。そして認証コードを会員サイトで入力すると、アクセスできるようになります。

他人と同じ携帯番号になることはありませんし、認証コードは携帯の持ち主だけが見られるため、ユーザー本人であることを証明できる有効な手段といえます。

SMS認証のメリット

ユーザーが携帯端末の電話番号を複数持ったり、頻繁に変更したりすることは少ないため、かんたんに作れるメールアドレスを用いるメール認証よりも、SMS認証は信頼性の高い手段といえます。万が一携帯番号が流出し、不正ログインをされたとしても、確認のSMSは端末を持つユーザー本人しか読めません。

ユーザーにとってはパスワードを設定しなくて済むので、煩わしいパスワード管理が必要ないメリットがあります。

SMS認証はセキュリティ面で安全なのか

SMS認証はアカウントの複数取得や乗っ取りを防止できるため、個人情報を扱う会員サイトにも向いています。ほかにはアプリのダウンロードやカード会社のポイント交換、金融機関のログイン機能などでもSMS認証が採用されており、安全性は高いといえます。

会員サイトにSMS認証を導入する際には、データの暗号化保存や不正侵入検知（IDS）などのセキュリティ対策を行っているSMSサービス事業者を選ぶと、さらに安全性が高まります。

5.FIDO

「FIDO」は認証器を用いてユーザー認証を行う方式で、以下の3つで構成されます。

• 認証サーバー（FIDOの認証を処理するサーバー）
• RP（FIDOを導入するシステムやサービス）
• 認証器（認証情報の管理と署名とキーペアの作成、生体認証や所有確認ができる機能を持つ）

FIDOではデバイス内部の認証器が必要でしたが、バージョンアップした「FIDO2」はUSB接続の指紋認証装置などの外部の認証器にも対応。さらにブラウザからアクセスしたWebサービスで、FIDOを用いた認証が実現できます。

ほかのログイン機能と比較するとまだ普及率は低いものの、日本ではLINEやYahoo!JapanがすでにFIDOに対応しています。

FIDOのメリット

FIDOは秘密鍵と公開鍵とで暗号化した認証情報をやり取りし、検証する方式です。ユーザーは認証のための個人情報をネットワークへ流す必要がなく、会員サイトも個人情報を管理せずに済むのがメリットです。

ユーザーはパスワードを覚えたり管理したりするのが不要になり、FIDOに対応していればほかのサイトでも認証器を使って同様にユーザー認証ができます。

FIDOはセキュリティ面で安全なのか

FIDOは、公開鍵暗号方式でユーザー認証を行います。パスワード認証とは違い、ユーザーと会員サイトとで生体情報などの認証情報のやり取りはされないため、セキュリティは高く保たれます。

会員サイトに新規登録するとき、まずはユーザーの認証器で秘密鍵と公開鍵を作成します。秘密鍵は認証器に、公開鍵は会員サイトへ送信されて保管されます。次に会員サイトでユーザー認証する際、会員サイトはユーザーにチャレンジを渡し、ユーザーは認証器にある秘密鍵でチャレンジに署名をします。そして会員サイトは返された署名付きチャレンジを公開鍵で検証し、ユーザー認証が完了します。

会員サイトでログイン機能を導入するときの注意点

ログイン機能のある会員サイトの場合、悪意のある第三者がログイン画面から攻撃をしかけ、情報を盗んだり漏洩させたりする可能性を考慮すべきです。ログイン機能のセキュリティを強化することは、会員サイトの安全性を高めることと直結します。

認証情報にパスワードを用いる場合、暗号化やハッシュ化だけでは元のパスワードが復号できる方法があるので、ストレッチング処理やSALTを施すなどのより高度な処理が必要です。コストをかけずにセキュリティを高めたい場合はソーシャルログインを導入し、外部のセキュリティ対策を利用してもよいでしょう。

会員サイトはURLが「https://」から始まるHTTP接続とし、ユーザーとの通信を暗号化することも大切です。加えてSSLではなくTLSプロトコルを使用すると、安全性が増します。

合わせて読みたい記事「ログイン認証の仕組みとは？導入の必要性やセキュリティについて詳しく解説」

会員サイトへの不正ログインに有効な対策

会員サイトへの不正ログインを防止するのに有効な対策を4つご紹介します。万が一、攻撃者により不正ログインがなされた場合には、顧客の情報漏えいやデータ改ざんに繋がり自社サイトの評判を落とすなどのリスクが生じるため、自社に合った対策を検討してください。

ログイン試行回数の制限

IPアドレス単位で、ログイン試行回数を制限するのも不正ログイン対策として有効です。例えば、ログインに5回失敗したらそのIPアドレスからのアクセスをブロックするという設定の導入です。

以前より、ブルートフォースアタック（総当たり攻撃）と呼ばれ、特定のアカウントに不正にアクセスするために、パスワードとして考えられるすべての組み合わせを試行するサイバー攻撃が世界的に行われてきました。もし、ログイン試行回数を制限しない場合には、ブルートフォースアタックによりパスワードが解読されてしまい、その結果、不正ログインによって情報漏えいやデータの改ざんのリスクが生じるとともに、サーバーに大きな負荷がかかることでサーバーダウンのリスクもあります。

二段階認証の導入

二段階認証は、WEBサイトやアプリケーションへのログインを行う際に、IDとパスワードに加え電話番号認証などを行うセキュリティです。ITの分野では、長らく知識情報であるパスワードを利用した一要素認証が採用されてきましたが、インターネットの発展、スマホの普及にともない、不正ログインの被害も拡大しています。

二段階認証を導入している場合には、犯罪者が正しいパスワードである「知識情報」を不正に取得したとしても、「所持情報」を満たせないため、不正ログインの防止が期待できます。

reCAPTCHAの導入

reCAPTCHAはGoogleが提供するサービスで、人とロボットを区別し、botによるWebサイトへのスパム攻撃を防ぐために利用されています。「私はロボットではありません」のチェックボックスにチェックを入れる必要があるため、botが無制限にログインを試行して不正にログインするのを抑制できます。

ただし、近年、reCAPTCHAを突破するサイバー攻撃も出てきているため、他の対策と組み合わせて使用するのがよいでしょう。

不正アクセスの検知・防御システムの導入

不正ログインを防ぐためには、不正アクセスの検知・防御システムの導入も有効です。例えば、IPS（不正侵入防止システム）では、常時ネットワーク通信の状況を監視できます。不審なアクセスがあればリアルタイムで検知できるとともに、必要な場合には通信の遮断も行えます。サイバー攻撃には、不正ログインの試行の他に、サーバーに負荷をかけてシステム障害を生じさせる狙いの攻撃もありますが、IPS導入によりこれらを防ぐことも可能です。

圧倒的な柔軟性とセキュリティで思い通りの会員向けサイト・サービスを構築するなら

当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要となる要素をワンストップで提供するシステムです。

会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。

ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンでのご利用実績がございます。サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。

まとめ

セキュリティの高いログイン機能を実装することで、ユーザーから信頼される会員サイトが実現できます。同時にユーザーにとって煩わしくない、便利な機能であれば、会員登録の離脱率は下がり、再訪率が上がることにも期待できるでしょう。

会員サイトが提供するサービスなどにより、ログイン機能との相性は異なります。十分に比較して、適したログイン機能を選択しましょう。

また、かんたんに会員サイトを導入したい方は、WordPressプラグインでかんたんに会員サイト化ができる「WP Member Login by SPIRAL」もおすすめです。