日々の開発Tips

Node.jsのUUID生成を極める：crypto.randomUUID() vs 通常のUUID

Qualiteg プロダクト開発部

2025年1月20日 — 3 min read

Photo by Towfiqu barbhuiya / Unsplash

こんにちは！

今回は、Webフロントで活躍するNode.jsでのUUID生成について、特にcrypto.randomUUID()と従来の方法の違いを解説します！

はじめに

UUIDは一意の識別子として広く使用されていますが、Node.jsには複数の生成方法があります。

crypto.randomUUID()の使用方法

import { randomUUID } from 'crypto';

const id = randomUUID();
console.log(id); // 例：'123e4567-e89b-12d3-a456-426614174000'

または、以下のように書いてもいいですね

import crypto from 'crypto';
const id= crypto.randomUUID();

主な特徴

暗号学的に安全な乱数生成器を使用
追加のパッケージインストールが不要
パフォーマンスが最適化済み
UUID v4形式を生成

従来のUUID生成方法

import { v4 as uuidv4 } from 'uuid';

const id = uuidv4();
console.log(id);

特徴

複数のUUIDバージョンに対応
カスタマイズオプションが豊富
コミュニティでの実績が長い
NPMパッケージのインストールが必要

複数のUUIDバージョンを使用する場合

import { v1, v3, v4, v5 } from 'uuid';

const timeBasedId = v1();  // タイムベース
const nameBasedMD5Id = v3('hello', v3.DNS);  // 名前ベース（MD5）
const randomId = v4();  // ランダム
const nameBasedSHA1Id = v5('hello', v5.DNS);  // 名前ベース（SHA-1）

どちらを選ぶべき？

crypto.randomUUID()を選ぶケース

セキュリティが重要な場合
依存関係を最小限に抑えたい場合
シンプルなUUID v4の生成で十分な場合

uuidパッケージを選ぶケース

特定のUUIDバージョンが必要な場合
生成プロセスをカスタマイズしたい場合
下位バージョンのNode.jsとの互換性が必要な場合

まとめ

プロジェクトの要件に応じて、適切な方法を選択してください。特に理由がない場合は、組み込みのcrypto.randomUUID()を使用することをお勧めします。

Appendix:暗号学的に安全な乱数とは？

さて、暗号学的に安全な乱数生成器（Cryptographically Secure Random Number Generator: CSPRNG）とは何でしょうか？

「セキュリティ的に良い」だけでは、ちょっと物足りないかもしれませんのでこれについて、Appendixで具体的にみていきましょう。

基本的な特徴

暗号号学的に安全な乱数生成器とは、基本的には以下のような特徴があります

１．予測不可能性

生成された乱数の次の値を予測することが実質的に不可能
これまでの出力からパターンを見つけることができない

２．均一な分布

すべての可能な値が同じ確率で出現
偏りがない

一般的な乱数生成器との違い

例えば、JavaScriptのMath.random()との比較で見てみましょう：

// 一般的な乱数生成
const normal = Math.random();

// 暗号学的に安全な乱数生成
import { randomBytes } from 'crypto';
const secure = randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64);

Math.random()の問題点

シード値から次の値が予測可能
暗号用途には不適切
擬似乱数生成アルゴリズムが比較的単純

crypto.randomUUID()の利点

OSの提供する暗号学的乱数源を使用（Linux の場合は /dev/urandom など）
物理的なノイズソースを利用
予測が極めて困難

実際のユースケース

暗号学的に安全な乱数が重要な場面：

セキュリティトークンの生成

import { randomBytes } from 'crypto';
const secureToken = randomBytes(32).toString('hex');

パスワードリセットトークン

import { randomUUID } from 'crypto';
const resetToken = randomUUID();

初期化ベクトル（IV）の生成

import { randomBytes } from 'crypto';
const iv = randomBytes(16); // AES-256用

実際の違いを視覚化

一般的な乱数生成器と暗号学的に安全な乱数生成器の違いを見てみましょう：

import { randomBytes } from 'crypto';

// 一般的な乱数列
const normalRandoms = Array.from(
  { length: 1000 }, 
  () => Math.random()
);

// 暗号学的に安全な乱数列
const secureRandoms = Array.from(
  { length: 1000 }, 
  () => randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64)
);

一般的な乱数生成器は、短時間で大量の値を生成する必要がある場合に適していますが、予測可能性があるため、セキュリティが重要な用途には適していません。

一方、暗号学的に安全な乱数生成器は：

より多くのエントロピー（ランダム性）を持つ
予測が実質的に不可能
計算コストは高いが、セキュリティが保証される

これが、UUIDの生成においてcrypto.randomUUID()が推奨される理由です。特に認証トークンやセッションIDなど、セキュリティが重要な場面では、この予測不可能性が極めて重要になります。

PyTorchの重いCUDA処理を非同期化したらメモリリークした話と、その解決策

こんにちは！Qualitegプロダクト開発部です！今回は同期メソッドを非同期メソッド(async)化しただけなのに、思わぬメモリリーク※に見舞われたお話です。深層学習モデルを使った動画処理システムを開発していた時のことです。「処理の進捗をリアルタイムでWebSocketで通知したい」という要件があり、「単にasync/awaitを使えばいいだけでしょ？」と軽く考えていたら、思わぬ落とし穴にはまりました。プロ仕様のGPUを使っていたにも関わらず、メモリ不足でクラッシュしてしまいました。この記事では、その原因と解決策、そして学んだ教訓を詳しく共有したいと思います。同じような問題に直面している方の参考になれば幸いです。 ※ 厳密には「メモリリーク」ではなく「メモリの解放遅延」ですが、実用上の影響は同じなので、この記事では便宜上「メモリリーク」と表現します。背景：なぜ進捗通知は非同期である必要があるのかモダンなWebアプリケーションの要求最近のWebアプリケーション開発では、ユーザー体験を向上させるため、長時間かかる処理の進捗をリアルタイムで表示することが

ゼロトラスト時代のLLMセキュリティ完全ガイド：ガーディアンエージェントへの進化を見据えて

こんにちは！今日はセキュリティの新たな考え方「ゼロトラスト」とLLMを中心としたAIセキュリティについて解説いたします！はじめに 3つのパラダイムシフトが同時に起きているいま、企業のIT環境では3つの大きな変革が起ころうとしています。 1つ目は「境界防御からゼロトラストへ」というセキュリティモデルの転換。 2つ目は「LLMの爆発的普及」による新たなリスクの出現。そして3つ目は「AIエージェント時代の到来」とそれに伴う「ガーディアンエージェント」という新概念の登場です。これらは別々の出来事のように見えて、実は密接に関連しています。本記事では、この3つの変革がどのように結びつき、企業がどのような対策を取るべきかを解説いたします目次 1. はじめに：3つのパラダイムシフトが同時に起きている 2. 第1の変革：ゼロトラストという新しいセキュリティ思想 3. 第2の変革：LLM時代の到来とその影響 4. 第3の変革：AIエージェントとガーディアンエージェント 5. 3つの変革を統合する：実践的なアプローチ 6. 実装のベストプラクティス 7. 日本

発話音声からリアルなリップシンクを生成する技術第4回：LSTMの学習と限界、そしてTransformerへ

1. 位置損失 (L_position) - 口の形の正確さ時間口の開き正解予測 L_position = Σᵢ wᵢ × ||y_pred - y_true||² 各時点での予測値と正解値の差を計算。重要なパラメータ（顎の開き、口の開き）には大きな重みを付けます。 jaw_open: ×2.0 mouth_open: ×2.0 その他: ×1.0 2. 速度損失 (L_velocity) - 動きの速さ時間速度 t→t+1 v = y[t] -

大企業のAIセキュリティを支える基盤技術 - 今こそ理解するActive Directory 第1回基本概念の理解

こんにちは！今回から数回にわたり Active Directory について解説してまいります。 Active Directory（AD:アクティブディレクトリー）は、Microsoft が開発したディレクトリサービスであり、今日の大企業における IT インフラストラクチャーにおいて、もはやデファクトスタンダードと言っても過言ではない存在となっており、組織内のユーザー、コンピューター、その他のリソースを一元的に管理するための基盤として広く採用されています。 AIセキュリティの現実：単独では機能しない ChatGPTやClaudeなどの生成AIが企業に急速に普及する中、「AIセキュリティ」という言葉が注目を集めています。情報漏洩の防止、不適切な利用の検知、コンプライアンスの確保など、企業が取り組むべき課題は山積みです。しかし、ここで注意しなければいけない事実があります。それは、 AIセキュリティソリューションは、それ単体では企業環境で限定的な効果しか期待できないということです。企業が直面する本質的な課題 AIセキュリティツールを導入する際、企業のIT部門