日々の開発Tips

Node.jsのUUID生成を極める：crypto.randomUUID() vs 通常のUUID

Qualiteg プロダクト開発部

2025年1月20日 — 3 min read

Photo by Towfiqu barbhuiya / Unsplash

こんにちは！

今回は、Webフロントで活躍するNode.jsでのUUID生成について、特にcrypto.randomUUID()と従来の方法の違いを解説します！

はじめに

UUIDは一意の識別子として広く使用されていますが、Node.jsには複数の生成方法があります。

crypto.randomUUID()の使用方法

import { randomUUID } from 'crypto';

const id = randomUUID();
console.log(id); // 例：'123e4567-e89b-12d3-a456-426614174000'

または、以下のように書いてもいいですね

import crypto from 'crypto';
const id= crypto.randomUUID();

主な特徴

暗号学的に安全な乱数生成器を使用
追加のパッケージインストールが不要
パフォーマンスが最適化済み
UUID v4形式を生成

従来のUUID生成方法

import { v4 as uuidv4 } from 'uuid';

const id = uuidv4();
console.log(id);

特徴

複数のUUIDバージョンに対応
カスタマイズオプションが豊富
コミュニティでの実績が長い
NPMパッケージのインストールが必要

複数のUUIDバージョンを使用する場合

import { v1, v3, v4, v5 } from 'uuid';

const timeBasedId = v1();  // タイムベース
const nameBasedMD5Id = v3('hello', v3.DNS);  // 名前ベース（MD5）
const randomId = v4();  // ランダム
const nameBasedSHA1Id = v5('hello', v5.DNS);  // 名前ベース（SHA-1）

どちらを選ぶべき？

crypto.randomUUID()を選ぶケース

セキュリティが重要な場合
依存関係を最小限に抑えたい場合
シンプルなUUID v4の生成で十分な場合

uuidパッケージを選ぶケース

特定のUUIDバージョンが必要な場合
生成プロセスをカスタマイズしたい場合
下位バージョンのNode.jsとの互換性が必要な場合

まとめ

プロジェクトの要件に応じて、適切な方法を選択してください。特に理由がない場合は、組み込みのcrypto.randomUUID()を使用することをお勧めします。

Appendix:暗号学的に安全な乱数とは？

さて、暗号学的に安全な乱数生成器（Cryptographically Secure Random Number Generator: CSPRNG）とは何でしょうか？

「セキュリティ的に良い」だけでは、ちょっと物足りないかもしれませんのでこれについて、Appendixで具体的にみていきましょう。

基本的な特徴

暗号号学的に安全な乱数生成器とは、基本的には以下のような特徴があります

１．予測不可能性

生成された乱数の次の値を予測することが実質的に不可能
これまでの出力からパターンを見つけることができない

２．均一な分布

すべての可能な値が同じ確率で出現
偏りがない

一般的な乱数生成器との違い

例えば、JavaScriptのMath.random()との比較で見てみましょう：

// 一般的な乱数生成
const normal = Math.random();

// 暗号学的に安全な乱数生成
import { randomBytes } from 'crypto';
const secure = randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64);

Math.random()の問題点

シード値から次の値が予測可能
暗号用途には不適切
擬似乱数生成アルゴリズムが比較的単純

crypto.randomUUID()の利点

OSの提供する暗号学的乱数源を使用（Linux の場合は /dev/urandom など）
物理的なノイズソースを利用
予測が極めて困難

実際のユースケース

暗号学的に安全な乱数が重要な場面：

セキュリティトークンの生成

import { randomBytes } from 'crypto';
const secureToken = randomBytes(32).toString('hex');

パスワードリセットトークン

import { randomUUID } from 'crypto';
const resetToken = randomUUID();

初期化ベクトル（IV）の生成

import { randomBytes } from 'crypto';
const iv = randomBytes(16); // AES-256用

実際の違いを視覚化

一般的な乱数生成器と暗号学的に安全な乱数生成器の違いを見てみましょう：

import { randomBytes } from 'crypto';

// 一般的な乱数列
const normalRandoms = Array.from(
  { length: 1000 }, 
  () => Math.random()
);

// 暗号学的に安全な乱数列
const secureRandoms = Array.from(
  { length: 1000 }, 
  () => randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64)
);

一般的な乱数生成器は、短時間で大量の値を生成する必要がある場合に適していますが、予測可能性があるため、セキュリティが重要な用途には適していません。

一方、暗号学的に安全な乱数生成器は：

より多くのエントロピー（ランダム性）を持つ
予測が実質的に不可能
計算コストは高いが、セキュリティが保証される

これが、UUIDの生成においてcrypto.randomUUID()が推奨される理由です。特に認証トークンやセッションIDなど、セキュリティが重要な場面では、この予測不可能性が極めて重要になります。

企業セキュリティはなぜ複雑になったのか？〜AD+Proxyの時代から現代のクラウド対応まで〜

こんにちは！ ChatGPTやClaudeといった生成AIサービスが業務に浸透し始めた今、「AIに機密情報を送ってしまうリスク」が新たなセキュリティ課題として浮上しています。この課題に向き合う中で、私たちは改めて「企業のセキュリティアーキテクチャはどう変遷してきたのか」を振り返る機会がありました。すると、ある疑問が浮かんできます。「なんでこんなに複雑になってるんだっけ？」企業のセキュリティ担当者なら、一度は思ったことがあるのではないでしょうか。アルファベット3〜4文字の製品が乱立し、それぞれが微妙に重複した機能を持ち、設定は複雑化し、コストは膨らみ続けています。当社ではAIセキュリティ関連プロダクトをご提供しておりますが、AI時代のセキュリティを考える上でも、この歴史を理解することは重要ではないかと考えました。本記事では、企業ネットワークセキュリティの変遷を振り返りながら、「なぜこうなったのか」を整理してみたいと思います。第1章：観測点を集約できた時代 ― オンプレAD + Proxy（〜2010年代前半）統制しやすかったモデルかつ

【IT温故知新】WS-* の栄光と黄昏：エンタープライズITはいかにして「実装」に敗北したか

こんにちは。 —— 2003年のSOAから、2026年のAIへ —— この記事は、過去の技術動向を振り返り、そこから学べる教訓について考察してみたものです。歴史は常に、後から見れば明らかなことが、当時は見えなかったという教訓を与えてくれます。そして、今私たちが「正しい」と信じていることもまた、20年後には違う評価を受けているかもしれません。だからこそ、振り返ることには意味があるとおもいます。同じ轍を踏まないために。はじめに：20年前の熱狂を覚えていますか 2000年代初頭。私はSOA（サービス指向アーキテクチャ）に本気で取り組んでいました。当時、SOAは「次世代のエンタープライズアーキテクチャ」として、業界全体が熱狂していました。カンファレンスに行けば満員御礼、ベンダーのブースには人だかり、書店にも関連の書籍がちらほらと。 SOAP、SOAP with attachments、JAX-RPC、WS-Security、WS-ReliableMessaging、WS-AtomicTransaction... 仕様書の山と格闘する日々でした。あれから

DockerビルドでPythonをソースからビルドするとGCCがSegmentation faultする話

こんにちは！Qualitegプロダクト開発部です！本日は Docker環境でPythonをソースからビルドした際に発生した、GCCの内部コンパイラエラー（Segmentation fault）について共有します。一見すると「リソース不足」や「Docker特有の問題」に見えますが、実際には PGO（Profile Guided Optimization）とLTO（Link Time Optimization）を同時に有効にした場合に、GCC自身がクラッシュするケースでした。ただ、今回はDockerによって問題が隠れやすいという点もきづいたので、あえてDockerを織り交ぜた構成でのPythonソースビルドとＧＣＣクラッシュについて実際に発生した題材をもとに共有させていただこうとおもいます同様の構成でビルドしている方の参考になれば幸いです TL;DR * Docker内でPythonを --enable-optimizations --with-lto 付きでソースビルドすると GCCが internal compiler error（Segmentati

サブスクビジネス完全攻略第2回～「解約率5%」が1年後に半分の顧客を消す恐怖と、それを防ぐ科学

こんにちは！ Qualitegコンサルティングです！前回の第1回では、サブスクリプションビジネスの基本構造と、LTV・ユニットエコノミクスという革命的な考え方を解説しました。「LTV > 3 × CAC」という黄金律、覚えていますか？サブスクビジネス完全攻略第1回～『アープがさぁ...』『チャーンがさぁ...』にもう困らない完全ガイドなぜサブスクリプションモデルが世界を変えているのか、でもAI台頭でSaaSは終わってしまうの？こんにちは！ Qualitegコンサルティングです！新規事業戦略コンサルタントとして日々クライアントと向き合う中で、ここ最近特に増えているのがSaaSビジネスに関する相談です。興味深いのは、その背景にある動機の多様性です。純粋に収益モデルを改善したい企業もあれば、「SaaS化を通じて、うちもデジタルネイティブ企業として見られたい」という願望を持つ伝統的な大企業も少なくありません。 SaaSという言葉が日本のビジネスシーンに本格的に浸透し始めたのは2010年代前半。それから約15年が経ち、今やSaaSは「先進的な企業の証」のように扱われています。