パスキーでSMSコストを削減する方法

重要なポイント

Commsrisk社によると、SMSトラフィックポンピングによりTwitter（現X）だけで年間6,000万米ドルのコストが発生しており、SMSベースの認証における不正アクセスの被害の大きさが浮き彫りになっています。
SMSトランザクションコストは1通あたり0.01〜0.20米ドルであり、高品質なサービスでは0.06米ドルからとなります。これにより、大手eコマース企業の年間請求額は1,200万米ドルに達しています。
Messente社の調査によると、社内でのSMS 2FAの実装には容易に5桁（数万米ドル）のコストがかかる可能性があり、外部ソリューションを利用する方が経済的です。
パスキーはログインごとのSMSコストを完全に排除します。ユーザーはローカルの生体認証を通じて認証を行い、SMSは電話番号の確認やフォールバックとして時折送信されるのみになります。
Corbadoのパスキーインテリジェンスエンジンは、自社開発のパスキー実装と比較して、最大90%のSMSコスト削減と10倍のパスキー導入率を達成します。

1. はじめに#

詐欺師によるSMSベースの2FAの悪用への対応として、2023年3月20日よりTwitter Blue以外のユーザー向けのSMSベースの二要素認証（2FA）を廃止するというXの発表を受けて、SMSベースの認証における他の潜在的な欠点についても疑問が生じています。

ユーザーのアカウント保護を強化するために、企業全般で（単一要素および二要素として）広く採用されているにもかかわらず、この認証方法にはセキュリティ問題以外にも多くの欠点が伴うことがよくあります。

この記事では、不正アクセスや、コスト、信頼性、ユーザーエクスペリエンスに関する課題を含む、これらの欠点について探ります。これらの課題に対処するため、SMSベースの認証方法と比較して多くの点で優れている新たなパスワードレス標準認証方法として、パスキーを利用することができます。

パスキーが代替手段となる可能性を考慮し、Corbadoでは、インターネットを安全な場所に保ち、ビジネスにおけるSMS関連の莫大な費用を即座に削減するためのプラグアンドプレイのパスキーソリューションを提供しています。

2. SMSベースの認証とは？#

SMSベースの認証の欠点を探る前に、その基本的な概念を理解することが重要です。SMSベースの認証は、主に2つの種類で構成されています。

単一要素認証
二要素認証

前者は、SMSで送信されるワンタイムパスコード（OTP）などの方法を含み、従来のパスワードに代わるパスワード不要のログイン手段を提供します。後者は、2FAによる保護を確実にするために2段階のプロセスを採用しています。ユーザーはまずユーザー名/メールアドレスとパスワードでサインアップ/ログインし、その後、携帯電話にSMSで送信されるワンタイムパスコードを通じてサインアップ/ログインを確定させます。

3. SMSベースの認証の欠点#

SMSベースの認証の欠点についてさらに深く掘り下げ、このログイン方法に関連するさまざまな形態の不正アクセスに光を当て、信頼性、ユーザーエクスペリエンス、そしてこの認証技術の実装、運用、保守にかかる財務コストに関する課題を明らかにしましょう。

Buy vs. Buildガイド. パスキープログラム向けの実践ガイド、展開パターン、KPI。

無料ガイドを入手

3.1 不正アクセス：SMSはユーザーアカウントのハッキングに利用される#

SMSは20年以上前に発明されて以来、大規模なセキュリティアップデートが行われていません。これが、SMSを利用した不正アクセスが大きな問題となっている理由です。

3.1.1 SMSトラフィックポンピング#

SMSベースの認証では、ユーザーがSMS経由で認証コードやリンクをリクエストすると、サービスプロバイダーはSMSメッセージを通じてユーザーの携帯電話番号にコードまたはリンクを送信します。SMSトラフィックポンピングは、特定の電話番号に対して、不要で多くの場合不正なSMSメッセージを大量に送信することでこのプロセスを悪用します。

SMSトラフィックポンピングスキームの詐欺師は、モバイルネットワーク事業者（MNO）とメッセージングサービスプロバイダー間の収益分配契約を悪用します。メッセージングサービスプロバイダーは、メッセージを配信するたびにMNOに手数料を支払うため、詐欺師はSMSのトラフィックを膨らませて自身の収益を増やすことを目的としています。Hacker Newsの現役Stytch従業員が指摘しているように、MNOはここで収益を分配することでハッカーと協力しています。電話番号のSMS受信を無効にする（地域制限）、レート制限を実装する、ボットを検出するといった具体的な予防策は、SMSトラフィックポンピングの軽減に役立ちますが、送信プロセスの設計上、悪用を完全に排除することはほぼ不可能です。

その結果、企業やサービスプロバイダーは、急増する受信メッセージにより多額の費用に直面することがよくあります。Commsrisk社によると、TwitterだけでもSMSトラフィックポンピングにより年間6,000万米ドルという信じられないほどの損失を被ったとされています。また、正規のユーザーが認証コードやリンクを受け取る際に遅延が発生する可能性もあります。

3.1.2 SIMスワッピング#

このタイプの詐欺では、詐欺師がMNOのインフラストラクチャの脆弱性を悪用し、被害者の携帯電話番号を新しいSIMカードに転送します。これにより、攻撃者は被害者の電話番号を制御できるようになり、認証コードやリンクを含む受信SMSメッセージを傍受できるようになります。ユーザーの電話番号の制御権を得ると、認証プロセスをバイパスし、さまざまなプラットフォーム上のユーザーアカウントに不正アクセスすることができます。SIMスワッピングの検出は困難です。攻撃者はしばしばソーシャルエンジニアリングを使用してMNOのカスタマーサポートを欺き、被害者の番号を新しいSIMカードに転送させます。影響を受けるユーザーを抱える企業が気付かないことが多いため、SIMスワップ攻撃は通常、データ侵害、経済的損失、企業の評判の失墜につながります。

3.2 コスト#

SMSはコストが高く、SMS価格の低下を示す明確な傾向は見られません。

3.2.1 SMSベースの認証の実装には多額のコストがかかる#

SMSベースの認証を実装するには、2つの選択肢があります。自社でシステムを構築して保守するか、外部の認証ソリューションを使用するかです。両方を組み合わせるアプローチも可能ですが、シンプルさの点から後者の選択肢が推奨されます。Messente社の調査によると、SMSのみの2FAソリューションを社内で構築すると、簡単に5桁（数万米ドル）のコストがかかる可能性があります。そのため、通常は安価である外部ソリューションを選択する方が得策な場合が多いです。

3.2.2 運用：送信されるすべてのSMSに最大20セントのコストがかかる可能性がある#

ユーザーにSMSベースの認証メッセージを送信することは非常に複雑であるため、ほぼすべての企業が経験豊富なプロバイダーを選択します。そのサービスには、選択したプロバイダーによって異なるトランザクションコストが発生します。これらのコストは、以下の要因に依存します：

送信されるSMSの数
SMSが送信される対象国
追加機能

一部のプロバイダーは、SMSによる認証が成功した際に追加料金を請求する場合がありますが、これは全体の価格に含まれていることが多いです。miniOrangeによると、トランザクション価格は通常1通あたり0.01〜0.20米ドルであり、主要プロバイダーに直接リンクされた高品質なSMSサービスは約0.06米ドルから始まります。デジタル製品のユーザーはさまざまな国にいることが多いため、さまざまなSMSプランを購入すると費用が増加します。私たちの情報によると、これは認証メッセージを送信するコストだけでもどれほど急速に急騰するかを示しており、ある大手eコマースが年間1,200万米ドルのSMSベースの認証コストを支払っている理由でもあります。もちろん、主要な対象国のみにSMSベースの認証を提供してコストを節約することもできますが、それは焼け石に水であり、一部のユーザーのユーザーエクスペリエンスにも悪影響を及ぼします。

3.2.3 保守：システムの最新状態の維持に追加コストが発生する#

保守費用の大部分は、通常トランザクション価格内に含まれています。これには、プロバイダーが大量のSMSを管理できるようにするための費用、さまざまなMNOへの国際的なSMS配信の円滑化、不可欠なセキュリティ対策の実装、規制の遵守の確保などが含まれます。ただし、SMSプロバイダーとのベンダー関係の処理、ユーザーサポートの提供、ダウンタイムや技術的問題に対処するためのリソースの割り当てなど、企業側で追加の費用が発生する場合があります。

なぜパスキーが重要なのか？

企業向けパスキー

パスワードとフィッシングは企業を危険にさらします。パスキーはセキュリティとUXを両立させる唯一のMFAソリューションです。当社のホワイトペーパーでは、実装とビジネスへの影響について解説しています。

無料ホワイトペーパーをダウンロード

3.3 信頼性：SMSは届かないことがある#

SMSベースの認証の文脈において、これはSMSの一貫したタイムリーな配信と、送信された認証コードによる認証システムへの途切れないアクセスを指します。現地のインフラストラクチャによっては、メッセージ配信の遅延、ネットワークの混雑、および潜在的なシステムダウンタイムにより、認証コードの迅速な受信が妨げられる可能性があります。これはユーザーの不満を引き起こし、認証プロセスを妨げます。

3.4 ユーザーエクスペリエンス：デスクトップでの体験が劣る#

考慮すべき重要な側面の1つは、プラットフォームごとに異なるユーザーフレンドリーさです。SMSベースの認証は、認証コードの入力を容易にする自動入力機能により、モバイルデバイス上で非常にうまく機能します。逆に、デスクトップでは、認証コードを手動で入力するために追加のデバイス（携帯電話）を使用する必要があり、結果として直感的でなく便利な体験とは言えません。前述のように、不正アクセスによる攻撃が発生したり、SMSの配信や認証コードの取得に問題が生じたりした場合にも、ユーザーエクスペリエンスは低下します。

4. SMSベースの認証の代替としてのパスキー#

これまで、パスキーは主にパスワードのみに対するパスワードレスの代替手段として認識されてきました。

さらに、パスキーは2FA機能を内蔵しているため、パスワードやあらゆる種類のSMSベースの認証の代替として機能します。これによりセキュリティが強化され、SMSベースのワンタイムパスコードがもたらすユーザーエクスペリエンスの課題が回避されます。認証メッセージを置き換えることで、パスキーはSMSベースの認証の欠点を効果的に排除する大きなメリットをもたらします。

4.1 フィッシング耐性のあるMFAと堅牢なセキュリティ#

傍受や改ざんの影響を受けやすいSMSベースの認証とは異なり、パスキーは公開鍵暗号基盤（PKI）を使用するため、あらゆる形態の不正攻撃に対して堅牢な保護を提供します。これにより、サーバーへの不正侵入が発生した場合でも、重要な秘密鍵はオペレーティングシステムに組み込まれたユーザーのデバイス内に安全に保持されるため、ユーザーアカウントは保護されたままになります。さらに、パスキーは登録された特定のオンラインサービスに紐付けられるため、フィッシングの試みに対する対策となり、パスキーを現在利用可能な最も安全な認証方法としています。

4.2 高額な（トランザクション）コストの回避#

SMSベースの認証と同様に、パスキーの実装にはコストが伴います。社内で実装を処理することは可能ですが、安全な認証に重点を置くため、専門家を好む傾向がよく見られます。彼らの専門知識は自社開発のわずかなコストで得られ、SMSベースの認証プロバイダーが実装に請求する金額と同等です。コストの観点から見ると、パスキーに投資する大きな利点は、ログインとサインアップのためにSMSを送信する必要がなくなることです。代わりに、ユーザーはFace IDやTouch IDを使用して安全にログインできます。これにより、認証にかかるコストを年間数百万米ドル削減できる可能性がある（特に大規模な消費者向けビジネスにおいて）だけでなく、SMSの送受信時に発生し得るすべての課題を排除できます。

マーケティングやその他のコミュニケーション目的でしばしば必要とされるユーザーの電話番号の確認については、初期のSMSでワンタイムパスコードを送信するオプションが引き続き利用可能です。これにより、SMSをパスキーと並行して運用することができます。さらに、SMSはフォールバック手段としても機能します。従来のSMSベースの認証とこれらのシナリオの主な違いは、SMSがログイン試行のたびに送信されるのではなく、時折送信されるだけになる点です。

4.3 便利な認証と向上したユーザーエクスペリエンス#

携帯電話やデスクトップデバイスのロック解除に生体認証（Face ID、Touch ID、Windows Helloなど）を採用することは、ユーザーの間で急速に一般的になりました。パスキーは現在、この慣れ親しんだ体験をアカウントのロック解除にまで拡張しています。ほとんどの携帯電話とデスクトップデバイスはすでにパスキーに対応しているため、SMSベースの認証の1対1の代替手段を提供します。デバイスからのローカルな指紋または顔のスキャンにより、ラップトップベースのSMS認証で依然として必要とされるセカンダリデバイスの要件が排除されます。この大幅な強化により、ユーザーエクスペリエンスが簡素化され、アカウントログインが容易になります。パスキーのもう1つのユニークな機能は、Conditional UIです。この機能は、ユーザーがユーザー名入力フィールドを操作する際に、保存されているパスキーを自動的に提案して事前入力することで、ユーザーの利便性を高めます。これにより、ユーザー名はすでにデバイスまたはブラウザ内に安全に保存され自動的に事前入力されるため、資格情報を手動で検索する必要がなくなります。

5. Corbadoが最大90%のSMSコストを削減し、10倍のパスキー導入率を実現する方法#

パスキーベースの認証への移行は、単にスムーズなログインUXや優れた（フィッシング耐性のある）MFAに関するものだけではありません。以下の2つが達成されれば、パスキーはSMS OTPコストを大幅に節約することもできます。

高いパスキー導入率
高いパスキーログイン率

Corbadoのパスキーテクノロジーとインテリジェントな設計は、これらの両方の側面を最適化し、高いSMSコスト削減を提供することに焦点を当てています。従来の自社開発ソリューションと比較して、最大90%のコスト削減と10倍のパスキー導入率を達成しています。その仕組みを見てみましょう。

5.1 パスキー導入率の最大化#

最初のステップは、アカウント設定でパスキーを作成できるようにすることで、既存のユーザーをパスキーユーザーに変換することです。しかし、これだけでは既存のユーザーベースでのパスキー導入率を高めるには不十分です。Corbadoはいくつかのソリューションを提供しています。

段階的な自動登録（Progressive Automatic Enrollment）： 当社のパスキーインテリジェンスエンジンは、パスキー登録プロセスを最適化するように設計されており、可能な場合はいつでも（例：従来の認証方法でのログイン時など）、スムーズかつ摩擦のない方法でユーザーのパスキー導入を案内します。このプロアクティブなアプローチにより、ユーザーが圧倒されたり混乱したりすることがなくなり、離脱率が低下し全体的な導入率が向上します。
自動ローカルパスキー作成（Automatic Local Passkey Creation）： 顧客がクロスデバイス認証（Cross-Device Authentication）経由でログインした場合、現在使用している環境にローカルパスキーを作成するオプションが提示され、すべてのデバイスでのパスキー導入率が向上します。現在のデスクトップデバイスがパスキーを作成するためのプラットフォームオーセンティケーターを提供していない状況では、モバイルファースト戦略を採用して携帯電話上にパスキーを作成することができます。
自動パスキーアップグレード（Automatic Passkey Upgrade）： Corbadoの決定エンジンは、ユーザーのパスキーへの自動アップグレードを促進し、ユーザーの積極的な参加を必要とせずに導入率を大幅に向上させます。このシームレスな移行は、iOS 18以降のデバイス（今後さらに追加予定）で自動的に機能する当社のパスキーインテリジェンス決定エンジンによって実現されています。

私たちは、より多くのユーザーが簡単にパスキーを導入できるようにし、自社開発のパスキー実装の10倍の導入率を達成します。

5.2 パスキーログイン率の最大化#

2番目の重要なステップは、可能な限りパスキーログインをトリガーし、既存のパスキーの再利用を積極的に奨励することです。

識別子ファーストアプローチ（Identifier-First Approach）： 識別子（メールアドレスなど）のみを求めることからログインプロセスを開始し、その後自動的にパスキーログインが可能かどうかを判断することで、UXが簡素化され、パスキーの使用率が高まります。この方法はユーザーがログインするために必要なステップを減らし、消費者が頻繁に無視する「パスキーでサインイン」という別のボタンを提供するよりもプロセスを迅速かつ直感的にします。
クロスデバイス認証とワンタップパスキーログイン（Cross-Device Authentication and One Tap Passkey Login）： ローカルパスキーが利用できない場合、Corbadoは自動的にWebAuthnクロスデバイス認証にフォールバックします。さらに、デバイス上でパスキーログインが記録されると、ユーザー識別子フィールドは自動的にワンタップパスキーログイン（One Tap Passkey Login）ボタンに変換され、ログインがさらにシームレスになります。

5.3 結果：SMSコストを90%削減し、パスキー導入率を10倍に#

パスキーの導入率とログイン率を最大化するCorbadoの革新的なアプローチは、DIYのアプローチに比べて大きな利点をもたらします。このインテリジェントな設計を活用することで、ユーザーがパスキーを統合するだけでなく積極的に導入することを保証し、最大10倍の導入率とログイン率をもたらします。この移行は、セキュリティとユーザーエクスペリエンスを向上させるだけでなく、特にSMS OTPの費用を最大90%削減することで、大幅なコスト削減をもたらします。効率的で安全な認証が重要となるこれからのパスキーの時代において、Corbadoは導入と費用対効果の両方を推進するリーダーとして際立っています。

6. まとめ#

結論として、パスキーはSMSベースの認証の欠点に対処するための実用的なソリューションを提供します。堅牢なセキュリティ、費用対効果、そして高いユーザーエクスペリエンスを提供し、インテリジェントな代替手段となります。生体認証テクノロジーやConditional UIのようなユーザーフレンドリーな機能を備えたパスキーは、プラットフォーム全体でセキュリティをシームレスにし、ユーザーエクスペリエンスをスムーズにします。認証のレベルアップを目指す企業にとって、Corbadoのパスキーソリューションは、セキュリティを強化し、コストを削減し、SMSベースの認証の課題を過去のものにするためのシンプルな方法です。SMS OTP / 2FAのセットアップに合わせたオーダーメイドのパスキー認証ソリューションについては、お問い合わせください。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのAuthentication Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →