WorkatoとSMSLINKによるガバナンスとセキュリティを強化したSMS認証の実現

■はじめに

前回の「WorkatoとSMS配信サービス「SMSLINK」でSMSを送信してみよう」では、WorkatoとSMSLINK（SMSLINKコネクター）を利用したSMS送信についてご紹介しました。

SMS送信の主な利用例の1つとして、2要素認証あるいは多要素認証が挙げられます。

今回は、WorkatoとSMSLINKによるSMS認証の実現について、ご説明していきたいと思います。

■WorkatoとSMSLINKによるSMS認証の実現

WorkatoとSMSLINKを組み合わせることで、以下の図のように、自社システムへのSMS認証を容易に実現することができます。

上の図のうち、Workatoが処理する範囲については、次のようなレシピを作成することで実現することができます。

このレシピは、Webhookで認証コード、電話番号、件名を自社システムよりPOSTで受け取り、その内容をSMSLINKを通して対象の携帯電話へ送信する、非常にシンプルなものです。

このように、認証コードのSMS送信に係る機能をWorkato側に用意することで、自社システム側ではSMSLINKの仕様を考えることなく、シンプルに認証コードのSMS送信を実現することができます。

■WorkatoでSMS認証を実現するメリット

上記において、Workatoを利用することで「自社システム側ではSMSLINKの仕様を考えることなく、シンプルに認証コードのSMS送信を実現することができる」ことを記載しました。

しかし、開発者（エンジニア）から見た場合、SMSLINKのAPIを利用して自社システムへSMS認証を実装する（コーディングする）ことはそれほど難しい作業ではなく、Workatoのメリットを感じないかもしれません。

単純に実装のことだけを考えればそうかもしれませんが、このような処理を敢えてWorkatoで実装することにメリットがあります。それは、ガバナンスとセキュリティの強化です。

例えば、自社システムとSMSLINKを管理する部門が異なる場合、SMSLINKを管理する部門ではSMSLINKの利用状況の把握（適正利用、コスト等）、セキュリティの確保が必要となります。

具体的な内容は次の通りですが、Workatoを利用すると、ノーコード・サーバレス、かつ少ないコストでこれらを実現することができます。

１．利用状況（実行結果）の管理

Workatoを利用すると、各レシピの実行（ジョブ）ごとに、その実行結果が出力されます。

ジョブの実行結果を確認することで、管理者はSMSLINKに対してどのような処理が行われていたか、把握することができます。

例えば、この結果より、特定のシステムにおける不適切な利用状況、ならびにセキュリティに係る問題が確認できれば、当該システムの管理者に対して是正を求めることができます。

２．システムごとの利用状況管理（コスト管理）

SMSLINKのような従量課金のサービスを利用する際は、定期的な利用状況の確認等（コスト管理）を行うことが必要です。

望ましいこととしては、サービス側でシステムごとの利用状況が把握できることですが、必ずしもすべてのサービスがそのようになっているとは限りません。

例えば、発行されるAPIキーが1つのみで、かつそのキーを複数のシステムで共有するような場合、サービス側ではシステムごとの利用状況を把握することができません。

Workatoを利用すると、発行されるAPIキーが1つのみであっても、システムごとのAPI利用状況を把握できるようになります。

例えば、各システムからAPIが呼び出された際に、集計用データベースにその回数や日時を記録することで、各システムにおけるAPIの利用状況の収集が可能となります。

これにより、システムごとのコスト管理を容易に行えるようになります。

また、Tableau等のBIツールを利用することで、利用状況を視覚的にわかりやすい形で出力したり、チャットボット（Workbot）を利用して、サービスの利用状況をSlackやMicrosoft Teams等のコミュニケーションツールへ通知することもできます。

３．APIアクセスにおけるセキュリティ確保

システムごとに複数のAPIキーを発行できない場合、1つのAPIキーを複数のシステムで共有することになりますが、APIキーを使用するシステムのいずれかよりAPIキーが漏洩すると、全てのシステムの運用に影響を及ぼす恐れがあります。

Workatoを利用すると、独自のAPIキーの発行を実現することができますので、1つのAPIキーしか発行されないシステムであってもセキュアに運用することが可能となります。

また、これに加えて、接続元IPアドレスによる制限にも対応することが可能です。
Workatoへのリクエストを特定のシステムのみに制限し、より高いセキュリティを確保することが可能です。

■まとめ

Workatoを利用することで、ノーコードあるいはローコードで簡単に必要な機能を実装でき、かつガバナンスとセキュリティの強化を考慮しながら、システムへのSMS認証を実現できることがお分かりいただけたかと思います。

SMSLINKによるSMS認証、ならびにAPI利用時のガバナンスとセキュリティ強化に関心を持たれた方は、是非ご参考ならびにWorkatoをご検討いただけましたら幸いです。