佐藤 健一
更新日:2026-05-31
OTPとは、One-Time Password(ワンタイムパスワード)の略で、1回限り、または短時間だけ有効な使い捨ての認証コードです。ログイン、本人確認、送金、決済、パスワード再設定などの場面で使われます。
OTPは、固定パスワードに加えて使われることが多く、パスワードが漏えいした場合でも第三者による不正ログインを防ぎやすくなります。そのため、OTPは二要素認証(2FA)や多要素認証(MFA)の一部として広く利用されています。
OTPとは?ワンタイムパスワードの意味
先に結論
OTPとは、ログインや取引確認時に一度だけ使える認証コードです。SMS、メール、認証アプリ、音声通話などで受け取り、一定時間が経過すると無効になります。主な方式には、時刻をもとに生成するTOTPと、カウンター値をもとに生成するHOTPがあります。
OTPは、固定パスワードとは異なり、同じコードを繰り返し使うことができません。一定時間が経過した場合や、新しいOTPが発行された場合、以前のコードは無効になります。
そのため、IDとパスワードだけでログインする方式に比べて、第三者によるなりすましや不正ログインを防ぎやすい点が特徴です。
OTPと固定パスワードの違い
固定パスワードは、ユーザーが変更しない限り同じ文字列を使い続けます。そのため、パスワードが漏えいすると、第三者に繰り返し悪用されるおそれがあります。
一方、OTPは一度使う、または一定時間が経過すると無効になります。仮にコードを第三者に見られても、使える時間が短く、同じコードを再利用しにくい点が固定パスワードとの大きな違いです。
OTPとは何の略?
OTPは、英語のOne-Time Passwordの略です。日本語では「ワンタイムパスワード」と呼ばれ、直訳すると「一度だけ使えるパスワード」という意味になります。
なお、ゲーム分野でもOTPという略語が使われることがありますが、ITセキュリティや本人確認の文脈では、通常「One-Time Password(ワンタイムパスワード)」を指します。
OTPコードとは?
OTPコードとは、本人確認やログイン認証のために発行される一時的な数字・文字列です。多くの場合、6桁前後の数字で構成され、SMS、メール、認証アプリなどでユーザーに届けられます。
たとえば、オンラインサービスにログインするときに「認証コードを入力してください」と表示され、スマートフォンに届いた数字を入力するケースがあります。この数字がOTPコードです。
OTP認証とは?
OTP認証とは、ユーザーに一度だけ使えるコードを発行し、そのコードを入力してもらうことで本人確認を行う認証方式です。
固定パスワードに加えてOTPを求めることで、パスワードが漏えいした場合でも、第三者がすぐにログインできないようにする役割があります。
OTPの仕組み
OTP認証は、一般的に次の流れで行われます。
- ユーザーがログイン、決済、本人確認などの操作を行う
- システムが一時的なOTPコードを生成する
- SMS、メール、認証アプリ、音声通話などでユーザーにOTPを届ける
- ユーザーが受け取ったOTPを入力する
- システムがOTPを検証し、正しければ認証を完了する
OTPは、発行後すぐに有効期限が設定されます。有効期限を過ぎたコードは無効になります。また、検証済みのコードは再利用できないように制御するのが一般的です。
OTPの有効期限切れとは?
OTPの有効期限切れとは、発行された認証コードが一定時間を過ぎて無効になった状態です。期限が切れた場合は、古いコードを入力しても認証できないため、新しいOTPを発行して入力する必要があります。
OTP再送信とは?
OTP再送信とは、認証コードが届かない場合や有効期限が切れた場合に、新しいOTPを再度送ることです。ただし、短時間に何度も再送できる設計にすると、不正利用や過剰送信につながる可能性があるため、再送間隔や回数制限を設けることが重要です。
OTPの受け取り方法
OTPの受け取り方法には、主にSMS、メール、認証アプリ、音声通話があります。それぞれ利用シーンやユーザー環境に向き不向きがあります。
-
SMS OTP
携帯電話番号宛てにOTPを送信する方法です。アプリを追加でインストールしなくても使いやすく、ログイン認証や本人確認で広く利用されています。
-
メールOTP
登録済みのメールアドレスにOTPを送信する方法です。アカウント登録、パスワード再設定、メールアドレス確認などで使われます。
-
認証アプリ
Google Authenticatorなどの認証アプリでOTPを生成する方法です。一定時間ごとにコードが切り替わるため、2FAやMFAの手段として利用されています。
-
ハードウェアトークン
専用の物理デバイスにOTPを表示する方法です。金融機関や法人向けシステムなど、より高いセキュリティが求められる場面で利用されることがあります。
-
音声通話
電話でOTPを読み上げる方法です。SMSが届きにくい場合や、別チャネルでの認証が必要な場合に使われることがあります。
どの受け取り方法が最適かは、サービスの目的やユーザー環境によって変わります。ログインや会員登録では、導入しやすいSMSやメールが使われることが多く、より高いセキュリティが必要な場面では認証アプリやハードウェアトークンが選ばれることがあります。
また、SMSが届きにくい地域や海外ユーザーを想定する場合は、メール、音声通話、WhatsAppなど別チャネルへの切り替えも考えておくと、認証途中の離脱を減らしやすくなります。
OTPとSMS認証・2FA/MFAの違い
OTP、SMS認証、2FA、MFAは似た場面で使われますが、意味はそれぞれ異なります。
| 用語 | 意味 |
|---|---|
| OTP | 一度だけ使える認証コードそのもの |
| SMS認証 | OTPなどの認証コードをSMSで届ける認証方法 |
| 2FA | 2つの要素を組み合わせて本人確認を行う仕組み |
| MFA | 2つ以上の複数要素を組み合わせて本人確認を行う仕組み |
つまり、OTPは認証コードそのもの、SMS認証はOTPを届ける方法、2FA/MFAは認証全体の仕組みを指します。多要素認証の考え方については、NISCのインターネットの安全・安心ハンドブックでも、パスワードが盗まれた場合の対策として紹介されています。
2FAとMFAの違いを詳しく知りたい場合は、2FA・MFAの違いもあわせてご覧ください。
OTPの種類:TOTP・HOTP
OTPには、主にTOTP(時間ベース型OTP)とHOTP(カウンターベース型OTP)があります。
TOTPとHOTPは、認証アプリやトークンで使われる代表的なOTP方式で、技術仕様としても広く参照されています。
-
TOTP
TOTPは、現在時刻をもとに生成されるOTPです。一定時間ごとにコードが変わるため、認証アプリなどでよく使われます。
-
HOTP
HOTPは、カウンター値をもとに生成されるOTPです。イベントや認証回数に応じてコードが変わる方式です。
詳しく知りたい場合は、OTP・HOTP・TOTPの違いもあわせてご覧ください。
OTPが使われる主な場面
OTPは、ログイン保護、本人確認、取引承認、アカウント復旧など、幅広い場面で利用されています。
-
ログイン認証
オンラインサービス、ECサイト、SNS、社内システムなどへのログイン時に、追加の本人確認としてOTPが使われます。
-
銀行取引・決済確認
送金、振込、オンライン決済、高額取引などの承認時に、本人による操作かどうかを確認するためにOTPが利用されます。インターネットバンキングの不正送金対策としても、警視庁のインターネットバンキング不正送金被害の防止対策で、ワンタイムパスワード等の利用が案内されています。
-
パスワード再設定
固定パスワードを忘れた場合や、アカウント復旧を行う場合に、登録済みの電話番号やメールアドレスへOTPを送信して本人確認を行います。
-
会員登録・本人確認
新規登録時に、電話番号やメールアドレスが本人のものかどうかを確認するためにOTPが使われます。
-
リモートアクセス
VPN、リモートデスクトップ、社内システムなどにアクセスする際、追加の認証要素としてOTPが利用されます。
OTPのメリットと注意点
OTPは、固定パスワードだけに依存する認証よりも不正ログイン対策を強化しやすい方法です。ただし、OTPだけですべての攻撃を防げるわけではありません。IPAの情報セキュリティ10大脅威の解説でも触れられているように、フィッシングサイトにOTPを入力してしまうケースや、端末・メールアカウント自体が乗っ取られるケースにも注意が必要です。
法人向けに導入する場合は、セキュリティだけでなく、ユーザーが途中で離脱しないための受け取りやすさ、再送ルール、配信安定性もあわせて設計する必要があります。
| 分類 | 内容 |
|---|---|
| メリット | 一度しか使えないため、固定パスワードより再利用されにくい |
| 2FA/MFAの手段として、不正ログイン対策に利用しやすい | |
| SMS、メール、認証アプリ、音声通話など複数の方法で利用できる | |
| 注意点 | SMSやメールが届かない、または遅延すると、ログインや本人確認の途中で離脱されやすい |
| フィッシングサイトにOTPを入力してしまうと、不正ログインを防ぎきれない場合がある | |
| 再送回数、有効期限、入力ミス時の制限を適切に設計する必要がある |
法人向けOTPサービスを選ぶポイント
法人向けにOTPを導入する場合は、単に認証コードを送れるかだけでなく、配信チャネル、到達率、セキュリティ、運用管理、サポート体制を確認することが重要です。
-
配信チャネル
SMS、メール、音声通話、WhatsAppなど、ユーザーの地域や利用環境に合ったチャネルを選べるかを確認します。
-
認証完了率
OTPがすばやく届くか、届かない場合に再送や別チャネルへ切り替えられるかを確認します。
-
不正対策
SMSポンピング(不正に大量のSMS送信を発生させる攻撃)、連続試行、不審な地域からのアクセスなどを検知・制限できるかを確認します。
-
運用管理
テンプレート、有効期限、桁数、再送ルール、配信ログ、認証結果を管理画面で確認できるかを見ます。
-
API連携
既存のアプリ、Webサービス、会員システム、決済システムに組み込みやすいAPIが用意されているかを確認します。
法人向けの導入例:EngageLab OTP
EngageLab OTPは、SMS、メール、音声通話、WhatsAppなど複数チャネルでのOTP配信に対応した法人向けの認証サービスです。
OTP送信APIとOTP検証APIを利用して、会員登録、ログイン認証、取引確認、パスワード再設定などの認証フローに組み込めます。テンプレート管理、再送ルール、有効期限、配信ログ、認証状況の確認も管理画面から行えます。
APIの詳細は、OTP送信APIとOTP検証APIをご確認ください。
ワンタイムパスワード(OTP)に関するFAQ
-
1
OTPとは何ですか?
OTPとは、ログインや本人確認などで使われる一時的な認証コードです。一度使う、または一定時間が経過すると無効になるため、固定パスワードだけの場合より不正ログイン対策を強化しやすくなります。 -
2
OTPとは何の略ですか?ワンタイムパスワードと違いはありますか?
OTPは「One-Time Password」の略です。日本語では「ワンタイムパスワード」と呼ばれ、基本的に同じ意味で使われます。 -
3
OTPコードとは何ですか?
OTPコードとは、本人確認やログイン認証のために発行される一時的な数字・文字列です。多くの場合、数十秒から数分で無効になります。 -
4
OTP認証とは何ですか?
OTP認証とは、ユーザーに一度だけ使えるコードを送信し、そのコードを入力してもらうことで本人確認を行う認証方式です。2FAやMFAの一部として利用されます。 -
5
OTPとSMS認証の違いは何ですか?
OTPは認証コードそのものを指し、SMS認証はそのOTPをSMSで送る方法のひとつです。OTPはSMS以外にも、メール、音声通話、認証アプリなどで届けることができます。 -
6
HOTPとTOTPの違いは何ですか?
HOTPはカウンター値をもとに生成される方式、TOTPは現在時刻をもとに生成される方式です。認証アプリなどでは、短時間でコードが切り替わるTOTPがよく使われます。 -
7
OTPが届かない場合はどうすればよいですか?
電話番号やメールアドレスの入力ミス、通信環境、迷惑メール設定、SMS受信制限、送信元の混雑などを確認します。法人側では、再送信や別チャネルでの認証を案内できる設計が重要です。 -
8
OTP再送信とは何ですか?
OTP再送信とは、認証コードが届かない場合や有効期限が切れた場合に、新しいOTPを再度送ることです。再送回数や再送間隔を適切に制限することで、不正利用や過剰送信を防ぎやすくなります。 -
9
OTPの有効期限切れとは何ですか?
OTPの有効期限切れとは、発行された認証コードが一定時間を過ぎて無効になることです。期限が切れた場合は、古いコードでは認証できないため、新しいOTPを発行して入力する必要があります。 -
10
OTPを受け取るスマホを紛失した場合はどうすればよいですか?
利用しているサービスの案内に従い、アカウント復旧、認証アプリの再設定、電話番号変更、リカバリーコードの利用などを行います。法人サービスでは、端末紛失や機種変更時に備えて、代替認証手段や管理者による本人確認フローを用意しておくことが重要です。
まとめ
OTPとは、One-Time Passwordの略で、1回限りまたは短時間だけ有効な使い捨ての認証コードです。ログイン、本人確認、決済、送金、パスワード再設定などで使われ、固定パスワードだけでは防ぎにくい不正ログイン対策に役立ちます。
OTPは、SMS、メール、認証アプリ、音声通話など複数の方法で受け取ることができます。また、TOTPやHOTPといった方式があり、2FAやMFAの一部としても利用されています。
法人向けにOTPを導入する場合は、配信チャネル、認証完了率、不正対策、API連携、運用管理のしやすさを確認することが重要です。
