日々の開発Tips

Node.jsのUUID生成を極める：crypto.randomUUID() vs 通常のUUID

Qualiteg プロダクト開発部

2025年1月20日 — 3 min read

Photo by Towfiqu barbhuiya / Unsplash

こんにちは！

今回は、Webフロントで活躍するNode.jsでのUUID生成について、特にcrypto.randomUUID()と従来の方法の違いを解説します！

はじめに

UUIDは一意の識別子として広く使用されていますが、Node.jsには複数の生成方法があります。

crypto.randomUUID()の使用方法

import { randomUUID } from 'crypto';

const id = randomUUID();
console.log(id); // 例：'123e4567-e89b-12d3-a456-426614174000'

または、以下のように書いてもいいですね

import crypto from 'crypto';
const id= crypto.randomUUID();

主な特徴

暗号学的に安全な乱数生成器を使用
追加のパッケージインストールが不要
パフォーマンスが最適化済み
UUID v4形式を生成

従来のUUID生成方法

import { v4 as uuidv4 } from 'uuid';

const id = uuidv4();
console.log(id);

特徴

複数のUUIDバージョンに対応
カスタマイズオプションが豊富
コミュニティでの実績が長い
NPMパッケージのインストールが必要

複数のUUIDバージョンを使用する場合

import { v1, v3, v4, v5 } from 'uuid';

const timeBasedId = v1();  // タイムベース
const nameBasedMD5Id = v3('hello', v3.DNS);  // 名前ベース（MD5）
const randomId = v4();  // ランダム
const nameBasedSHA1Id = v5('hello', v5.DNS);  // 名前ベース（SHA-1）

どちらを選ぶべき？

crypto.randomUUID()を選ぶケース

セキュリティが重要な場合
依存関係を最小限に抑えたい場合
シンプルなUUID v4の生成で十分な場合

uuidパッケージを選ぶケース

特定のUUIDバージョンが必要な場合
生成プロセスをカスタマイズしたい場合
下位バージョンのNode.jsとの互換性が必要な場合

まとめ

プロジェクトの要件に応じて、適切な方法を選択してください。特に理由がない場合は、組み込みのcrypto.randomUUID()を使用することをお勧めします。

Appendix:暗号学的に安全な乱数とは？

さて、暗号学的に安全な乱数生成器（Cryptographically Secure Random Number Generator: CSPRNG）とは何でしょうか？

「セキュリティ的に良い」だけでは、ちょっと物足りないかもしれませんのでこれについて、Appendixで具体的にみていきましょう。

基本的な特徴

暗号号学的に安全な乱数生成器とは、基本的には以下のような特徴があります

１．予測不可能性

生成された乱数の次の値を予測することが実質的に不可能
これまでの出力からパターンを見つけることができない

２．均一な分布

すべての可能な値が同じ確率で出現
偏りがない

一般的な乱数生成器との違い

例えば、JavaScriptのMath.random()との比較で見てみましょう：

// 一般的な乱数生成
const normal = Math.random();

// 暗号学的に安全な乱数生成
import { randomBytes } from 'crypto';
const secure = randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64);

Math.random()の問題点

シード値から次の値が予測可能
暗号用途には不適切
擬似乱数生成アルゴリズムが比較的単純

crypto.randomUUID()の利点

OSの提供する暗号学的乱数源を使用（Linux の場合は /dev/urandom など）
物理的なノイズソースを利用
予測が極めて困難

実際のユースケース

暗号学的に安全な乱数が重要な場面：

セキュリティトークンの生成

import { randomBytes } from 'crypto';
const secureToken = randomBytes(32).toString('hex');

パスワードリセットトークン

import { randomUUID } from 'crypto';
const resetToken = randomUUID();

初期化ベクトル（IV）の生成

import { randomBytes } from 'crypto';
const iv = randomBytes(16); // AES-256用

実際の違いを視覚化

一般的な乱数生成器と暗号学的に安全な乱数生成器の違いを見てみましょう：

import { randomBytes } from 'crypto';

// 一般的な乱数列
const normalRandoms = Array.from(
  { length: 1000 }, 
  () => Math.random()
);

// 暗号学的に安全な乱数列
const secureRandoms = Array.from(
  { length: 1000 }, 
  () => randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64)
);

一般的な乱数生成器は、短時間で大量の値を生成する必要がある場合に適していますが、予測可能性があるため、セキュリティが重要な用途には適していません。

一方、暗号学的に安全な乱数生成器は：

より多くのエントロピー（ランダム性）を持つ
予測が実質的に不可能
計算コストは高いが、セキュリティが保証される

これが、UUIDの生成においてcrypto.randomUUID()が推奨される理由です。特に認証トークンやセッションIDなど、セキュリティが重要な場面では、この予測不可能性が極めて重要になります。

発話音声からリアルなリップシンクを生成する技術第3回：wav2vec特徴量から口形パラメータへの学習

こんにちは！前回までの記事では、 * wav2vecを用いた音声特徴量抽出の仕組み（第1回）と、 * リップシンク制作における累積ドリフトの補正技術（第2回）について解説してきました。今回はいよいよ、これらの技術を統合して実際に音声から口の動きを生成する核心部分に踏み込みます。本記事で扱うのは、wav2vecが抽出した768次元の音響特徴量を、26個の口形制御パラメータの時系列データに変換する学習プロセスです。これは単なる次元削減ではありません。音の物理的特性を表す高次元ベクトルから、人間の口の動きという全く異なるモダリティへの変換なのです。この変換を実現するには、音韻と視覚的な口形の間にある複雑な対応関係を、ニューラルネットワークに学習させる必要があります。特に重要なのは、この対応関係が静的ではなく動的であるという点です。同じ音素でも前後の文脈によって口の形が変わり、さらに音が聞こえる前から口が動き始めるという時間的なズレも存在します。これらの複雑な現象をどのようにモデル化し、学習させるのか。本記事では、LSTMとTransformerという2つの強力なアプロー

AI時代のデータ漏洩防止の要諦とテクノロジー：第1回 AI DLPとPROXY

こんにちは！本日はAI時代のデータ漏洩防止について、とくにその通信技術面に焦点をあてつつ、AIセキュリティにどのように取り組んでいくべきか、解説いたします。 1. はじめに生成AIの急速な普及により、企業のデータガバナンスは新たな局面を迎えています。ChatGPTやClaudeといった大規模言語モデル（LLM）は、業務効率を飛躍的に向上させる一方で、意図しない機密情報の漏洩という深刻なリスクをもたらしています。従業員が何気なく入力した顧客情報や営業秘密が、AIサービスの学習データとして使用される可能性があることを、多くの組織はまだ十分に認識していません。従来のDLP（Data Loss Prevention）ソリューションは、メールやファイル転送を監視することには長けていましたが、リアルタイムで行われるWebベースのAIチャットやAIエージェントとの対話で発生しうる新しい脅威には対応できていないのが現状です。本記事では、AI時代のデータ漏洩防止において中核となる技術、特にHTTPS通信のインターセプトとその限界について、技術的な観点から詳しく解説します。プロキシサーバー

LLM推論基盤プロビジョニング講座　第5回 GPUノード構成から負荷試験までの実践プロセス

こんにちは！これまでのLLM推論基盤プロビジョニング講座では、推論速度の定義、リクエスト数見積もり、メモリ消費量計算、推論エンジン選定について詳しく解説してきました。今回は、残りのステップである「GPUノード構成見積もり」「負荷試験」「トレードオフ検討」について一気に解説し、最後に実際のサーバー構成例をご紹介します。 STEP5：GPUノード構成見積もり GPUメモリから考える同時リクエスト処理能力 LLMサービスを構築する際、どのGPUを何台選ぶかは非常に重要な決断です。今回はLlama 8Bモデルを例に、GPUメモリ容量と同時リクエスト処理能力の関係を見ていきましょう。 GPUメモリの使われ方を理解するここは復習となりますが、 LLM推論においてGPUメモリは主に2つの用途で消費されます 1. モデル重みデータ: LLMモデル自体を格納するためのメモリ 2. KVキャッシュ: ユーザーとの対話コンテキストを保持するための一時メモリ Llama 8Bを16ビット精度で実行する場合、モデル重みデータは約16GBのメモリを占めます。これは固定的なメモリ消

発話音声からリアルなリップシンクを生成する技術第2回：AIを使ったドリフト補正

こんにちは！前回の記事では、当社のMotionVoxで使用している「リップシンク」技術について、wav2vecを用いた音声特徴量抽出の仕組みを解説しました。音声から正確な口の動きを予測するための基礎技術について理解いただけたかと思います。今回は、その続編として、リップシンク制作における重要な技術的課題である「累積ドリフト」に焦点を当てます。wav2vecで高精度な音素認識ができても、実際の動画制作では複数の音声セグメントを時系列に配置する際、わずかなタイミング誤差が蓄積して最終的に大きなずれとなる現象が発生します。本記事では、この累積ドリフトのメカニズムと、機械学習を活用した最新の補正技術について、実際の測定データを交えながら詳しく解説していきます。前回のwav2vecによる特徴抽出と今回のドリフト補正技術を組み合わせることで、MotionVoxがどのように高品質なリップシンクを実現しているのか、その全体像が見えてくるはずです。累積ドリフトとは何か基本概念累積ドリフトとは、個々の音声セグメントが持つ微小なタイミング誤差が、時間の経過とともに蓄積していく現象で