SMS認証 vs 着信認証 徹底比較 — コスト・セキュリティ・対応範囲
公開日: 2026-03-02
「SMS認証にするか、電話認証にするか」。認証方式は複数の選択肢が存在する時代になりました。本記事ではSMS認証と着信認証を、コスト・セキュリティ・到達率・固定電話対応の4軸で比較し、サービスの要件に合わせた最適解を選ぶための指針を提供します。
比較表:一目でわかる SMS認証 vs 着信認証
| 比較軸 | SMS認証 | 着信認証(pauth.me) |
|---|---|---|
| コスト(国内) | 10〜15円/通 | 約7円〜/件($0.05〜) |
| 到達率 | 95〜98% | 約99%(PSTN回線ベース) |
| 固定電話対応 | × 不可 | ○ 対応 |
| IP電話(050番号) | × 不可 | ○ 対応 |
| SIMスワップ耐性 | △ 脆弱 | ○ 高い(発信行為が必要) |
| 実装難易度 | 低(ライブラリ豊富) | 低(SDK・REST API) |
| ユーザー操作 | OTP手動入力 | 電話1コール(出なくてOK) |
SMS認証の特徴
メリット
- ① 実装エコシステムが充実している
- Twilio、Amazon SNS、SendGridなど、SMS送信ライブラリは豊富に存在します。言語を問わずサンプルコードが見つかりやすく、既存エンジニアの学習コストが低いのが特徴です。
- ② ユーザーに馴染みがある
- 「SMSでコードが届く」というフローはユーザーに広く浸透しています。初めてサービスを利用するユーザーにとっても説明不要なUXを提供できます。
- ③ スマートフォン普及率の高いユーザー層に最適
- 20〜40代のスマートフォンヘビーユーザーが主体のサービスなら、SMS到達率95〜98%でも実用上の問題は少ないです。
デメリット
- ① SIMスワップ攻撃への脆弱性
- 攻撃者がキャリアになりすましてSIMを再発行すると、被害者のSMSを傍受できます。米FBI IC3の2022年レポートによれば、SIMスワップ関連詐欺の年間被害額は約6,800万ドル(約100億円)に達しています。
- ② コストの膨張リスク
- SMS単価は1通10〜15円。月間1万件の認証では月10〜15万円、年間120〜180万円になります。再送リトライが発生すると実質コストは2〜5倍に膨らむケースもあります。
- ③ 固定電話・IP電話への対応不可
- 固定電話(固定回線)、050番号などのIP電話にはSMSを送れません。高齢者ユーザーや法人代表電話での登録が必要なサービスでは、ユーザーを取りこぼすリスクがあります。
- ④ NIST「制限付き」認定
- 米国標準技術研究所(NIST)の SP 800-63B では、SMS OTPを「Restricted Authenticator(制限付き認証手段)」として分類。リスク評価と代替手段の提供を求めています。
着信認証の特徴
仕組み
着信認証(Call Authentication)は、SMSの代わりに「電話をかける」ことで本人確認を行う認証方式です。
- ユーザーがサービスに電話番号を入力
- サービスが「この番号に電話してください」と発信先番号を表示
- ユーザーがその番号に電話(1コールで切ってOK)
- pauth.meが着信を検知し、サービスへwebhookまたはSSEで通知
- 認証完了
OTPを読んで手入力する必要がなく、電話する → 繋がったら切るだけでシームレスに認証できます。
メリット
- ① コストが低い
- pauth.me着信認証は1件あたり$0.05〜(約7円〜)。国内SMS(10〜15円)より低コストです。再送リトライによるコスト倍増のリスクも少なく、スケールしやすい料金体系です。
- ② 固定電話・IP電話に対応
- PSTN(公衆電話網)経由の発信で認証するため、固定電話でも050番号でも利用できます。高齢者の多い医療・介護サービスや、法人向けSaaSで重宝されます。
- ③ SIMスワップ耐性が高い
- SMS傍受と異なり、着信認証では「ユーザー自身が電話をかける」という能動的な行為が必要です。SIMスワップで電話番号を乗っ取られても、被害者が電話を発信しない限り認証は成立しません。
- ④ UXがシンプル
- OTPのコピー&ペーストや手動入力が不要。電話1コールという直感的な操作で認証が完了します。
デメリット
- ① 通話ができない環境では使えない
- 電波圏外や機内モードでは認証できません。SMS認証でも同様の問題はありますが、留意が必要です。
- ② ライブラリの実績がSMSより少ない
- SMS認証に比べると参考事例やライブラリが少ないため、初期の調査コストがやや高いです(ただしpauth-jsのようなSDKで解消されています)。
どちらを選ぶべきか — ユースケース別ガイド
着信認証が向いているケース
- 高齢者ユーザーが多いサービス — 医療クリニックの予約システム、介護サービス、シニア向けアプリなど。固定電話対応により、スマートフォンを持たないユーザーも認証できます。
- セキュリティ要件が高いサービス — 金融、決済、重要データを扱うSaaSなど。SIMスワップ耐性とNIST準拠の観点から、着信認証がより安全な選択です。
- コストを抑えてスケールしたいサービス — 月1万件以上の認証を行うサービスでは、SMS比でコストを30〜50%削減できるケースがあります。
- 法人ユーザーも対象のサービス — 会社の代表電話(固定回線)で登録したい法人ユーザーをカバーするために着信認証が有効です。
SMS認証が向いているケース
- 20〜40代スマートフォンユーザーが主体 — 到達率95〜98%で十分なユーザー層なら、エコシステムの充実したSMSが実装コストを抑えられます。
- 開発速度・リリース速度を優先するフェーズ — プロトタイプやMVP段階で既存ライブラリを活用してすばやく実装したい場合はSMSが現実的です。
- 低〜中リスクのサービス — SNSログインや軽量な確認フローなど、SIMスワップリスクの許容度が高い用途では引き続きSMSが合理的です。
まとめ
SMS認証も着信認証も「どちらが絶対に正しい」という答えはありません。サービスの要件・ユーザー層・セキュリティポリシー・コスト感に合わせて選択することが重要です。
- 高齢者・固定電話ユーザーをカバーしたい → 着信認証
- セキュリティ要件が高い(金融・決済) → 着信認証
- コストを抑えてスケールしたい → 着信認証(約7円〜)
- スマートフォンユーザー主体・実装速度優先 → SMS認証でも可
関連ページ: SMS認証 vs 着信認証 比較ページ | 料金プラン | SMS認証の落とし穴を詳しく解説