会員サイト構築の記事
ARTICLEメール認証とは|導入の必要性やメリットや導入の注意点について
さまざまなサービスにおいてメール認証が導入されていますが、どのような役割や効果があるかご存知でしょうか。今回はメール認証の仕組みや他の認証方式を分類・整理すると共に、メール認証の必要性や導入のメリットとデメリットを説明します。また、導入の具体的な手順と導入する際の注意点について解説していきます。
目次
メール認証とは?仕組みは?
メール認証とその仕組みについて解説していきます。
メール認証
メール認証とはメールアドレスを利用した認証の仕組みです。認証画面でメールアドレスを入力すると、URLが送られてきます。このURLを開くことによって認証が完了します。メール認証はユーザーIDとパスワードによる認証と組み合わせて、認証強度を上げる目的で二段階認証の手段としてよく使用されます。
二段階認証とは、その名の通り認証処理を二段階に分けて行い、双方の認証にパスして初めて認証に成功し、システムの利用を可能にする方法です。メール認証と同様の認証方法にSMS(Short Message Service)認証があります。これはメール認証におけるメールアドレスの替わりにスマホや携帯の電話番号を利用する方法です。ユーザーが認証画面において電話番号を入力すると、その番号宛てにショートメッセージが配信されます。そのショートメッセージ内に記載されたURLを開くことによって認証を完了させる方法です。
メール認証の仕組み
スマホやタブレット、PCなどのクライアント端末は、サイトのサービスを利用するためにサーバーへのアクセスを試みます。するとサーバーはトークンといわれるランダムでとても長い文字列を生成し、これを自身で保存すると共に、トークンを末尾につけたURLをクライアント端末に送信します。するとクライアントはこのURLを画面に表示させます。
ユーザーが画面上に表示されたURLをクリックすると、端末のブラウザはトークンを切り取ってサーバーに送信します。サーバーでは自身で保有するトークンと端末から送られてきたトークンを比較して認証処理を行い、両者が合致していればアクセスを許可する仕組みです。
認証方法の分類と認証方法
メール認証を含め認証方法の分類を行い、よく使用される認証方法について解説していきましょう。
認証方法の分類と認証方法
メール認証を含め、認証方法はいろいろとあり、これらは要素ごとに分類できます。ここではこれらの認証の各要素について解説していきます。
知識要素
知識要素とは人の知識や経験の基づき生み出された文字列や数字列、もしくはこれらの組み合わせです。その性格上、子供や家族などの誕生日などのように第三者が容易に想像がつく文字列を生成してしまいがちですが、これはセキュリティ上とても危険であるため避けなければなりません。
所有要素
所有要素とは、自身で保有するスマホやタブレット、PCなどに加え、たとえば、銀行から貸与されるセキュリティトークンや乱数表などが該当します。これら、自身で保有もしくは貸与されたデバイスは知識要素で生成される文字列に比較して高い安全性が期待できます。メール認証はユーザーのメールアドレスとサーバーの生成するランダムな文字列であるトークンを利用していることから、所有要素を利用した認証方法といえます。
生体情報要素
生体情報要素とは、顔や指紋、静脈、虹彩などのように人それぞれが異なる特徴を有する体の情報を利用した認証要素のことを指します。他人がまねたりできないため認証要素として効果的です。従来はコンピュータの処理スピードやメモリ容量などの限界から、短時間に処理できるデータ量に限りがあり、限定的に一部のシステムでのみ使用されていましたが、現在ではこれらの課題は次第に解決されつつあり、生体情報要素が利用されるシステムも増えてきています。
さまざまな認証方法
メール認証と同様、良く使われる認証方法についていくつか紹介していきます。
ワンタイムパスワード
ワンタイムパスワードは銀行のオンラインキャッシングにおいてよく使われています。セキュリティトークンまたは専用トークンといわれる専用のデバイスを使います。USBメモリスティックと同じような形状をしており、表面に数桁の文字列もしくは数字列が表示できるLCDがついています。セキュリティトークンは一定時間の間隔で、ランダムな文字列を画面上に表示させます。ユーザーがこの文字列を読み取り、システムの認証要求画面に入力することにより認証処理を行う方法です。
パスコードによる認証
パスコードによる認証はメール認証とよく似ています。一般的にユーザーIDとパスワードによる認証との組み合わせで、二段階認証の二段目の認証手段としてよく使われます。ユーザーIDとパスワードによる認証をパスした後、あらかじめ登録しておいたユーザーのスマホやタブレットの電話番号宛にショートメッセージが送信され、そのメッセージに数桁の数字(パスコード)が記載されています。ユーザーがその数字を読み取り、システムが要求する認証画面からパスコードを入力することで認証を行う方法です。
デバイスを使った認証
デバイスを使った認証はUSBメモリスティックと同じような形状をしたデバイスをPCやスマホに接続することで認証処理を行う方法です。PCやスマホとの接続はUSBやBluetoothのインターフェースを利用します。これらの機器に接続することにより認証サーバーは、この機器がアクセスを許可している登録済み機器であるかチェックを行い、登録済みであるとの確認が取れるとアクセスが許可される認証方法です。デバイスを所有していることが認証を許可されていることを意味します。
生体情報による認証
生体情報による認証として使われるのは、顔情報や指紋情報、静脈情報、虹彩情報などが代表例として挙げられます。顔は人によって、サイズや形状、大きさや色がそれぞれ異なります。似ているといっても完全に一致することはありえないことから、認証手段として使われます。
指紋情報
指紋情報は、生体情報のうちで最も古くから使われていた生体認証手段です。長い経験から技術的に成熟しているためコスト的にも易く実現することが可能です。
静脈情報
静脈情報も人によって、血管の形状や構成がそれぞれことなることに加え体の表面に出ていないので、改変したりすることは不可能であることから第三者がこれをまねることはできません。このような理由から認証手段として使われています。
虹彩情報
虹彩情報は瞳孔の周辺にあるシワのことを指します。静脈同様に体の内部にある情報であり改変することは現実的に不可能であることから認証手段として使われています。
これらの生体情報を使って認証を行う場合、1人1人ごとの生体情報の特徴量を抽出して認証システムに蓄積する必要があります。たとえば顔認証を利用した入退室システム考えた場合、システムに登録する人の顔の形状、大きさおよび顔の中のそれぞれのパーツおよびここから抜き出された特徴量をシステムに記憶させます。
新たな人が入退室システムを通過しようとしたそのタイミングにおいて、通過しようとしている人の顔の大きさなどとその特徴量などを瞬時に計算し、システムに記録されているすべての人のデータと逐次比較して同様のデータが登録されているかどうかによって、入出力の可否を判断しなければなりません。
それをほんの数秒以内に行う必要があるため、システムに求められるパフォーマンスは高くなります。また、登録されている人の数が増えれば増えるほど比較対象データは大きくなります。
メール認証を導入する必要性
昨今のWeb上の各種サービスとしてSNSや各種製品購入サイトなど多様なサービスが展開される中で、ユーザー情報のハッキングなどの不正アクセスによる被害が問題視されています。特にEC系のサイトにおけるユーザーのクレジットカードの情報などが被害にあうとユーザーの財産に関わり致命的な問題となる可能性が出てきます。
このような状況を反映し、社会的には、システムのセキュリティ強化ならびにユーザー認証の強化のニーズは高まる一方です。従来のユーザーIDとパスワードのみによる認証からほかの認証手段を組み合わせ、二段階認証として認証強度を高めるアプローチが広まっています。
メール認証のメリット
メール認証を利用する上での主なメリットについて解説していきましょう。
認証の強度を高める
一般的にメール認証は二段階認証を用いた認証手段において使用されます。一段目にユーザーID、パスワードによる認証を行い、これにパスすると二段目としてメール認証が使われます。一段目と二段目で異なる認証要素を用いて、二段階の認証手段とすることより認証強度を高められます。
ハッキングリスクが少ない
メール認証ではユーザーID、パスワードを使用しませんので、これらが盗まれることによるリスクはありません。そのような意味から悪用される可能性は低いと考えられますが、ほかの認証手段と組み合わせることにより、一層認証強度を高めるべきと考えられます。
メール認証のデメリット
メール認証を利用する上でのデメリットについて解説していきましょう。
ユーザーの負担が増す
メール認証は、ほかの認証手段と組み合わせて使うことが多いことを踏まえると、単一の方法による認証と比べユーザーの負担は増えます。しかし、仮にハッキングされ、システムを不正に使用されてしまった場合の損害とユーザーへの負担増を比較すれば、多少の負担増があってもその場だけのことですので十分に許容範囲内であると考えられます。
メールアドレスの利用
メールアドレスを登録しなければならないこと、従ってメールアドレスを持っていないと認証を受けられない点がデメリットとして挙げられます。ITリテラシーが低い人たち、特に高齢者の方々を中心にメールアドレスを持っていない人も多く存在します。従ってこのような人たちがメールアドレス認証を使えず、サービスを利用できなくなることがないように、メール認証の代替手段を用意しておく必要があります。
メール認証を導入する際の手順
メール認証を導入する手順について解説していきます。
メール認証の対象サービス
メール認証を使うのは二段階認証が必要となる比較的高いセキュリティが求められるシステムです。企業向けの各種業務用システムや民生用途でもEC系の課金処理などを含めユーザーのクレジットカードなどの情報を扱うシステムや、個人情報を扱うシステムなどにおいては必要と考えられ、幅広く使われています。
メール認証ソリューションの選択と導入
メール認証のソリューションを作り上げる方法はいくつか考えられます。
最も容易で早期にサービス開始が可能である方法はクラウドサービスの利用です。一方で、ベンダーからメール認証のソフトウェア製品の提供を受け、自社サーバー内にポーティングする方法もあります。自社で多少のカスタマイズができる可能性もありますが、それなりのシステム構築の経験と技術力が必要です。さらにすべてを自社で用意する方法もあります。サーバーを自社で立ち上げ、そのうえで動作させるためのメール認証ソフトウェアを自社で開発する方法です。
この方法は、自社の仕様に限りなく近いソリューションを実現できる可能性が高いものの、システム開発の経験や技術力に加え、システムを作り上げるための期間と対応人員が必要となります。
自社がコスト、期間、仕様のどれを優先するのか、しっかりとした方針に基づき、この方針を具現化可能な方法で開発を進め導入する必要があります。
メール認証導入時の注意点
メール認証を導入する際の主な注意点についていくつか紹介していきます。
二段階認証の利用
メール認証単独で使用するとセキュリティ的な不安が残ります。従ってほかの認証方法と組み合わせてユーザー認証することにより、安全性強度を高めるべきです。ユーザーIDとパスワード、生体情報を利用した認証、ワンタイムパスワードなどトークンを使用した認証方法などとの組み合わせです。
メール認証でユーザーを減らさない
メール認証においてユーザーのメールアドレス宛てに配信したメールを開封したときに、ユーザーがメールに記載されたURLをクリックしないと認証処理が完了しないことを理解できないケースが考えられます。この結果、会員登録に至らない、物品の購入処理が完了せずに購入に至らないことが考えられます。このような事態を回避するために以下の対応が必要です。
ユーザー認証の過程で配信されるメールについてです。多くのユーザーはURLをクリックすることにより認証が終了することを経験的に理解していますが、経験がない人や浅い人は必ずしも理解できるとは限りません。
従って、メールの文中に大きく「まだシステムへの登録は完了していません。以下のURLをクリックすると、「登録が完了しました。」のメッセージが表示されます。その段階で初めて登録処理が完了したことになります。」といったコメントを表示して、注意喚起する必要があります。
メールアドレスの入力ミス
メールが届かない場合は入力したメールアドレスが間違っている可能性があるため、再確認が必要です。この注意喚起を行う必要があります。また、このようにメールアドレスの登録ミスを防止するためによく行われるのがメールアドレスを2回入力させること、さらに入力においてコピペはできないようにすることです。
最後に、メール認証における利用者側の視点での注意点を挙げておきます。メールサービスを提供するプロバイダは、利用者がメールアドレスを変更した場合、変更前のメールアドレスを別の利用者に割り当てます。従ってメールアドレスを変更した後、メール認証として登録しているメールアドレスを変更しないと、他人にメール認証サービスを利用されてしまうリスクがあることを認識し、速やかにメールアドレスの変更を行う必要があります。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
メール認証とその仕組みについて説明し、ほかの認証方式を分類・整理すると共にメール認証の必要性や導入のメリットとデメリットを説明しました。また、導入の具体的な手順と導入する際の注意点についてあわせて解説しました。メール認証の仕組みの導入にあたり、注意点をしっかりと認識した上で対応するようにしましょう。
