ワンタイムパスワードとは？仕組み・受け取り方やメリット

最終更新日：2025-10-28

【比較表】ワンタイムパスワード(OTP)

＼かんたん無料登録／

ワンタイムパスワードとは、一定時間ごとに更新される使い捨てのパスワードです。ワンタイムパスワードの意味や仕組み、受け取り方、メリットなどを解説します。

ワンタイムパスワード(OTP)には多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒ワンタイムパスワード(OTP)の資料をダウンロードする（無料）

目次を閉じる

ワンタイムパスワードとは

ワンタイムパスワードとは、認証に用いる一度だけ使用できる使い捨てのパスワードです。一定時間ごとに自動で更新され、所定の時間を過ぎると無効になります。ワンタイムパスワードは、固定パスワードと併用することで不正アクセスのリスクを低減できるため、インターネットバンキングなど多くの企業で導入が進んでいます。

二要素認証で活躍

認証方法には、IDや固定パスワードなど通常はユーザーのみが知っている情報による認証と、クレジットカードやトークンなどの媒体を使った認証、指紋や音声などを使った生体認証があります。

二要素認証とは、この3つの認証のうち異なる二つのものをあわせて使うことです。生体認証の導入は高額なため、現状では特定の機関でのみ利用されています。一方、ワンタイムパスワードの導入は比較的コストが低いため、IDと固定パスワードによる認証とワンタイムパスワードを組み合わせた二要素認証が普及しつつあります。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは、製品や企業によって導入している方式が異なります。実際に利用しても、その内部の詳細な仕組みまでわかるわけではありません。そこで、2つの代表的なワンタイムパスワードの生成方式である「時刻同期方式 (タイムスタンプ方式)」と「チャレンジ・レスポンス方式」についてや、その原理について紹介します。

時刻同期方式（タイムスタンプ方式）

この方法ではトークンというパスワードを作成するツールを利用して、ワンタイムパスワードを生成します。認証の際には、自分の識別番号、すなわち「ID」と、トークンに表示されている「パスワード」を送信することで認証を受けられます。この方式では、サーバー側があらかじめトークンの情報を把握しており、誰がいつどのトークンでどの数値を表示するのかを共有していることで実現しています。

しかし、時刻の同期によって認証されるためトークンとサーバー側の時刻にズレがある場合には正しく認証されないので、時刻の同期は必須となります。

チャレンジ・レスポンス方式

この方法では、利用側からサーバー側に認証のリクエストを送ることで、毎回ランダムで意味の持たない「チャレンジ (問題)」となる文字列を生成します。そして、そのチャレンジの文字列をもとにサーバー側と共有している情報を使って「レスポンス (答え)」の文字列を生成します。サーバーがチャレンジを毎回変えることでレスポンスも毎回変わるので、ワンタイムパスワードとして機能します。この二つが一致することによって認証される方式のことをチャレンジ・レスポンス方式といいます。

ワンタイムパスワードの受け取り方

ワンタイムパスワードの受け取り方は、下記の4つの方法が中心となります。

トークン

トークンは、小型の端末ないしカードにてパスワードを受け取ります。スマートフォンやパソコンを使わずにパスワードを取得できる点が特徴です。早い時期のネットバンキングは、トークンにて本人認証するよう促していました。

実際に、三井住友銀行やジャパンネット銀行にて使用されている受け取り方です。しかし、トークンの故障時や紛失時にサービスへログインできなくなることから、最近ではアプリの利用が推奨されることが多くなっています。

アプリ

スマホにダウンロードできるアプリを利用してパスワードを入手する方法です。トークンのように専用の端末を持ち運ぶ必要がないので、スマートフォンを利用している方であれば、どなたでもご利用いただけます。

三井住友銀行のOne Time Passや三菱UFJ銀行のアプリなど専用アプリにてアクセスする方法と、Google 認証システムやIIJ SmartKeyのように第三者のアプリを利用する方法があります。

メール

メールアドレスにワンタイムパスワードを送ってもらう方法もあります。メーラーを起動して確認する手法です。アプリに比べると手軽さに欠けるため、利用されることはあまり多くありません。

フリーメールアドレスを利用している人がメールの内容を外部の人に見られてしまい、被害を受けてしまったという例が過去にあります。そうした事例からも、メールを使って行う場合にはフリーアドレスではなくキャリアのメールを利用することをおすすめします。

音声

最後に紹介する方法は、事前に登録した電話番号へ音声で通知するものです。こちらは文字に残らないので流出しにくいというメリットがあるものの、忘れてしまうこともありうるので対策が必要かもしれません。

ワンタイムパスワードのメリット

ワンタイムパスワードを使うメリットは、大きく次の3つです。

不正アクセスを防ぐ

固定のパスワードは自分自身も覚えやすいように比較的短い数字と文字列を使用する方が多いですが、それだけに第三者に推測されやすくもなります。また、いったん悪意のある第三者にパスワードを入手されてしまうと、何かしらの被害を被ってしまう恐れがあります。

一度しか使用できないワンタイムパスワードは、推測されにくい意味を持たない文字列です。そのため、セキュリティレベルを高められます。このようにワンタイムパスワードでは、不正アクセスをある程度防げます。

パスワード管理の負担を減らす

多くのサービスでは、不正アクセス対策として定期的なパスワード変更が求められます。また、社員数の多い企業のシステム管理者にとって、社員ごとにパスワードを管理するのは手間でしょう。しかしワンタイムパスワードを利用すると、このような管理コストを抑えられます。

クラウドサービスへの対応

モバイルやスマートデバイスの普及からクラウドサービスの利用が大きく広がっており、社外からも会社の情報資産にアクセスする機会が増えています。その際、アクセスしているユーザーが正規の利用者かどうかの認証が不十分だと、企業情報の漏えいにつながる恐れがあります。ワンタイムパスワードは企業情報や個人情報の漏えい防止に有効です。

ワンタイムパスワードの仕組みを知って、安心して利用しましょう

これまでワンタイムパスワードについての仕組みを理解していなかった人は、本当に安全面で守られているのか疑問に感じていた人もいたのではないでしょうか。本記事を通して、実際には通常の固定のパスワードだけの利用よりもはるかに安全ということが理解いただけたと思います。どんなセキュリティにも100%安全はありませんが、ワンタイムパスワードは高度なセキュリティ技術の一つです。ぜひ積極的にご利用ください。