佐藤 健一
更新日:2026-04-30
OTPとは、One-Time Password(ワンタイムパスワード)の略で、1回限り、または短時間だけ有効な使い捨ての認証コードです。ログイン、本人確認、送金、決済、パスワード再設定などの場面で使われます。
OTPは、固定パスワードに加えて使われることが多く、パスワードが漏えいした場合でも第三者による不正ログインを防ぎやすくなります。そのため、OTPは二要素認証(2FA)や多要素認証(MFA)の一部として広く利用されています。
OTPとは?ワンタイムパスワードの意味
先に結論
OTPとは、ログインや取引確認時に一度だけ使える認証コードです。SMS、メール、認証アプリ、音声通話などで受け取り、一定時間が経過すると無効になります。主な方式には、時刻をもとに生成するTOTPと、カウンター値をもとに生成するHOTPがあります。
OTPは、固定パスワードとは異なり、同じコードを繰り返し使うことができません。一定時間が経過した場合や、新しいOTPが発行された場合、以前のコードは無効になります。
そのため、IDとパスワードだけでログインする方式に比べて、第三者によるなりすましや不正ログインを防ぎやすい点が特徴です。
OTPとは何の略?
OTPは、英語のOne-Time Passwordの略です。日本語では「ワンタイムパスワード」と呼ばれ、直訳すると「一度だけ使えるパスワード」という意味になります。
なお、ゲーム分野でもOTPという略語が使われることがありますが、ITセキュリティや本人確認の文脈では、通常「One-Time Password(ワンタイムパスワード)」を指します。
OTPコードとは?
OTPコードとは、本人確認やログイン認証のために発行される一時的な数字・文字列です。多くの場合、6桁前後の数字で構成され、SMS、メール、認証アプリなどでユーザーに届けられます。
たとえば、オンラインサービスにログインするときに「認証コードを入力してください」と表示され、スマートフォンに届いた数字を入力するケースがあります。この数字がOTPコードです。
OTP認証とは?
OTP認証とは、ユーザーに一度だけ使えるコードを発行し、そのコードを入力してもらうことで本人確認を行う認証方式です。
固定パスワードに加えてOTPを求めることで、パスワードが漏えいした場合でも、第三者がすぐにログインできないようにする役割があります。
OTPの仕組み
OTP認証は、一般的に次の流れで行われます。
- ユーザーがログイン、決済、本人確認などの操作を行う
- システムが一時的なOTPコードを生成する
- SMS、メール、認証アプリ、音声通話などでユーザーにOTPを届ける
- ユーザーが受け取ったOTPを入力する
- システムがOTPを検証し、正しければ認証を完了する
OTPは、発行後すぐに有効期限が設定されます。有効期限を過ぎたコードは無効になります。また、検証済みのコードは再利用できないように制御するのが一般的です。
OTPの受け取り方法
OTPの受け取り方法には、主にSMS、メール、認証アプリ、音声通話があります。それぞれ利用シーンやユーザー環境に向き不向きがあります。
-
SMS OTP
携帯電話番号宛てにOTPを送信する方法です。アプリを追加でインストールしなくても使いやすく、ログイン認証や本人確認で広く利用されています。
-
メールOTP
登録済みのメールアドレスにOTPを送信する方法です。アカウント登録、パスワード再設定、メールアドレス確認などで使われます。
-
認証アプリ
Google Authenticatorなどの認証アプリでOTPを生成する方法です。一定時間ごとにコードが切り替わるため、2FAやMFAの手段として利用されています。
-
ハードウェアトークン
専用の物理デバイスにOTPを表示する方法です。金融機関や法人向けシステムなど、より高いセキュリティが求められる場面で利用されることがあります。
-
音声通話
電話でOTPを読み上げる方法です。SMSが届きにくい場合や、別チャネルでの認証が必要な場合に使われることがあります。
OTPの種類:TOTP・HOTP
OTPには、主にTOTP(時間ベース型OTP)とHOTP(カウンターベース型OTP)があります。
TOTPとHOTPは、認証アプリやトークンで使われる代表的なOTP方式で、技術仕様としても広く参照されています。
-
TOTP
TOTPは、現在時刻をもとに生成されるOTPです。一定時間ごとにコードが変わるため、認証アプリなどでよく使われます。
-
HOTP
HOTPは、カウンター値をもとに生成されるOTPです。イベントや認証回数に応じてコードが変わる方式です。
詳しく知りたい場合は、OTP・HOTP・TOTPの違いもあわせてご覧ください。
OTPとSMS認証・2FA/MFAの違い
OTP、SMS認証、2FA、MFAは似た場面で使われますが、意味はそれぞれ異なります。
| 用語 | 意味 |
|---|---|
| OTP | 一度だけ使える認証コードそのもの |
| SMS認証 | OTPなどの認証コードをSMSで届ける認証方法 |
| 2FA | 2つの要素を組み合わせて本人確認を行う仕組み |
| MFA | 2つ以上の複数要素を組み合わせて本人確認を行う仕組み |
つまり、OTPは認証コードそのもの、SMS認証はOTPを届ける方法、2FA/MFAは認証全体の仕組みを指します。
2FAとMFAの違いを詳しく知りたい場合は、2FA・MFAの違いもあわせてご覧ください。
OTPが使われる主な場面
OTPは、ログイン保護、本人確認、取引承認、アカウント復旧など、幅広い場面で利用されています。
-
ログイン認証
オンラインサービス、ECサイト、SNS、社内システムなどへのログイン時に、追加の本人確認としてOTPが使われます。
-
銀行取引・決済確認
送金、振込、オンライン決済、高額取引などの承認時に、本人による操作かどうかを確認するためにOTPが利用されます。
-
パスワード再設定
固定パスワードを忘れた場合や、アカウント復旧を行う場合に、登録済みの電話番号やメールアドレスへOTPを送信して本人確認を行います。
-
会員登録・本人確認
新規登録時に、電話番号やメールアドレスが本人のものかどうかを確認するためにOTPが使われます。
-
リモートアクセス
VPN、リモートデスクトップ、社内システムなどにアクセスする際、追加の認証要素としてOTPが利用されます。
OTPのメリットと注意点
OTPはセキュリティを高めるうえで有効ですが、導入時にはユーザー体験や配信安定性もあわせて考える必要があります。
| 分類 | 内容 |
|---|---|
| メリット | 一度しか使えないため、固定パスワードより再利用されにくい |
| 2FA/MFAの手段として、不正ログイン対策に利用しやすい | |
| SMS、メール、認証アプリ、音声通話など複数の方法で利用できる | |
| 注意点 | SMSやメールが遅延すると、認証完了率が下がる場合がある |
| OTPだけでフィッシングを完全に防げるわけではないため、端末保護や不正ログイン検知も必要になる | |
| 再送回数、有効期限、入力ミス時の制限を適切に設計する必要がある |
法人向けOTPサービスを選ぶポイント
法人向けにOTPを導入する場合は、単に認証コードを送れるかだけでなく、配信チャネル、到達率、セキュリティ、運用管理、サポート体制を確認することが重要です。
-
配信チャネル
SMS、メール、音声通話、WhatsAppなど、ユーザーの地域や利用環境に合ったチャネルを選べるかを確認します。
-
認証完了率
OTPがすばやく届くか、届かない場合に再送や別チャネルへ切り替えられるかを確認します。
-
不正対策
SMSポンピング(不正に大量のSMS送信を発生させる攻撃)、連続試行、不審な地域からのアクセスなどを検知・制限できるかを確認します。
-
運用管理
テンプレート、有効期限、桁数、再送ルール、配信ログ、認証結果を管理画面で確認できるかを見ます。
-
API連携
既存のアプリ、Webサービス、会員システム、決済システムに組み込みやすいAPIが用意されているかを確認します。
法人向けの導入例:EngageLab OTP
EngageLab OTPは、SMS、メール、音声通話、WhatsAppなど複数チャネルでのOTP配信に対応した法人向け認証ソリューションです。
OTP送信APIとOTP検証APIを利用して、会員登録、ログイン認証、取引確認、パスワード再設定などの認証フローに組み込めます。テンプレート管理、再送ルール、有効期限、配信ログ、認証状況の確認も管理画面から行えます。
APIの詳細は、OTP送信APIとOTP検証APIをご確認ください。
OTPを理解するための参考資料
OTPや多要素認証をより正確に理解するには、技術標準だけでなく、公的機関や業界団体が公開しているセキュリティ資料も参考になります。
-
IPA:セキュリティ対策の基本と共通対策
多要素認証の考え方や、SMSで通知されたワンタイムパスワードを入力する例が紹介されています。IPAの資料を見る
-
NISC:インターネットの安全・安心ハンドブック
パスワードが盗まれた場合でも攻撃者が簡単にログインできないよう、二要素以上の多要素認証を利用することが推奨されています。NISCの資料を見る
-
IPA:情報セキュリティ10大脅威 知っておきたい用語や仕組み
多要素認証は有効な対策である一方、SMSで送信されるワンタイムパスワードを狙うフィッシング手口にも注意が必要だと説明されています。IPAの解説を見る
-
警視庁:インターネットバンキング不正送金被害の防止対策
インターネットバンキングの不正送金対策として、金融機関が推奨するワンタイムパスワード等のセキュリティ対策を利用することが案内されています。警視庁の資料を見る
-
全国銀行協会:ネットバンキング犯罪
ワンタイムパスワード生成機やメールで届くワンタイムパスワードを狙う手口が紹介されており、金融分野でのOTP利用と注意点を理解する参考になります。全銀協の資料を見る
なお、TOTPやHOTPの技術仕様まで確認したい場合は、TOTPの仕様を説明するRFC 6238と、HOTPの仕様を説明するRFC 4226も参考になります。
ワンタイムパスワード(OTP)に関するFAQ
-
1
OTPとは何ですか?
OTPとは、One-Time Passwordの略で、1回限りまたは短時間だけ有効な認証コードです。ログイン、本人確認、決済、送金、パスワード再設定などで使われます。 -
2
OTPとは何の略ですか?
OTPは「One-Time Password」の略です。日本語では「ワンタイムパスワード」と呼ばれ、使い捨ての認証コードを意味します。 -
3
ワンタイムパスワードとOTPに違いはありますか?
基本的に同じ意味です。OTPは「One-Time Password」の略で、日本語では「ワンタイムパスワード」と呼ばれます。 -
4
OTPコードとは何ですか?
OTPコードとは、本人確認やログイン認証のために発行される一時的な数字・文字列です。多くの場合、数十秒から数分で無効になります。 -
5
OTP認証とは何ですか?
OTP認証とは、ユーザーに一度だけ使えるコードを送信し、そのコードを入力してもらうことで本人確認を行う認証方式です。2FAやMFAの一部として利用されます。 -
6
OTPとSMS認証の違いは何ですか?
OTPは認証コードそのものを指し、SMS認証はそのOTPをSMSで送る方法のひとつです。OTPはSMS以外にも、メール、音声通話、認証アプリなどで届けることができます。 -
7
HOTPとTOTPの違いは何ですか?
HOTPはカウンター値をもとに生成される方式、TOTPは現在時刻をもとに生成される方式です。認証アプリなどでは、短時間でコードが切り替わるTOTPがよく使われます。 -
8
OTPが届かない場合はどうすればよいですか?
電話番号やメールアドレスの入力ミス、通信環境、迷惑メール設定、SMS受信制限、送信元の混雑などを確認します。法人側では、再送信や別チャネルでの認証を案内できる設計が重要です。 -
9
ゲーム用語のOTPとは同じ意味ですか?
いいえ。この記事で解説しているOTPは、ITセキュリティ分野の「One-Time Password」を指します。ゲーム分野で使われるOTPとは意味が異なります。
まとめ
OTPとは、One-Time Passwordの略で、1回限りまたは短時間だけ有効な使い捨ての認証コードです。ログイン、本人確認、決済、送金、パスワード再設定などで使われ、固定パスワードだけでは防ぎにくい不正ログイン対策に役立ちます。
OTPは、SMS、メール、認証アプリ、音声通話など複数の方法で受け取ることができます。また、TOTPやHOTPといった方式があり、2FAやMFAの一部としても利用されています。
法人向けにOTPを導入する場合は、配信チャネル、認証完了率、不正対策、API連携、運用管理のしやすさを確認することが重要です。
