日々の開発Tips

Node.jsのUUID生成を極める：crypto.randomUUID() vs 通常のUUID

Qualiteg プロダクト開発部

2025年1月20日 — 3 min read

Photo by Towfiqu barbhuiya / Unsplash

こんにちは！

今回は、Webフロントで活躍するNode.jsでのUUID生成について、特にcrypto.randomUUID()と従来の方法の違いを解説します！

はじめに

UUIDは一意の識別子として広く使用されていますが、Node.jsには複数の生成方法があります。

crypto.randomUUID()の使用方法

import { randomUUID } from 'crypto';

const id = randomUUID();
console.log(id); // 例：'123e4567-e89b-12d3-a456-426614174000'

または、以下のように書いてもいいですね

import crypto from 'crypto';
const id= crypto.randomUUID();

主な特徴

暗号学的に安全な乱数生成器を使用
追加のパッケージインストールが不要
パフォーマンスが最適化済み
UUID v4形式を生成

従来のUUID生成方法

import { v4 as uuidv4 } from 'uuid';

const id = uuidv4();
console.log(id);

特徴

複数のUUIDバージョンに対応
カスタマイズオプションが豊富
コミュニティでの実績が長い
NPMパッケージのインストールが必要

複数のUUIDバージョンを使用する場合

import { v1, v3, v4, v5 } from 'uuid';

const timeBasedId = v1();  // タイムベース
const nameBasedMD5Id = v3('hello', v3.DNS);  // 名前ベース（MD5）
const randomId = v4();  // ランダム
const nameBasedSHA1Id = v5('hello', v5.DNS);  // 名前ベース（SHA-1）

どちらを選ぶべき？

crypto.randomUUID()を選ぶケース

セキュリティが重要な場合
依存関係を最小限に抑えたい場合
シンプルなUUID v4の生成で十分な場合

uuidパッケージを選ぶケース

特定のUUIDバージョンが必要な場合
生成プロセスをカスタマイズしたい場合
下位バージョンのNode.jsとの互換性が必要な場合

まとめ

プロジェクトの要件に応じて、適切な方法を選択してください。特に理由がない場合は、組み込みのcrypto.randomUUID()を使用することをお勧めします。

Appendix:暗号学的に安全な乱数とは？

さて、暗号学的に安全な乱数生成器（Cryptographically Secure Random Number Generator: CSPRNG）とは何でしょうか？

「セキュリティ的に良い」だけでは、ちょっと物足りないかもしれませんのでこれについて、Appendixで具体的にみていきましょう。

基本的な特徴

暗号号学的に安全な乱数生成器とは、基本的には以下のような特徴があります

１．予測不可能性

生成された乱数の次の値を予測することが実質的に不可能
これまでの出力からパターンを見つけることができない

２．均一な分布

すべての可能な値が同じ確率で出現
偏りがない

一般的な乱数生成器との違い

例えば、JavaScriptのMath.random()との比較で見てみましょう：

// 一般的な乱数生成
const normal = Math.random();

// 暗号学的に安全な乱数生成
import { randomBytes } from 'crypto';
const secure = randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64);

Math.random()の問題点

シード値から次の値が予測可能
暗号用途には不適切
擬似乱数生成アルゴリズムが比較的単純

crypto.randomUUID()の利点

OSの提供する暗号学的乱数源を使用（Linux の場合は /dev/urandom など）
物理的なノイズソースを利用
予測が極めて困難

実際のユースケース

暗号学的に安全な乱数が重要な場面：

セキュリティトークンの生成

import { randomBytes } from 'crypto';
const secureToken = randomBytes(32).toString('hex');

パスワードリセットトークン

import { randomUUID } from 'crypto';
const resetToken = randomUUID();

初期化ベクトル（IV）の生成

import { randomBytes } from 'crypto';
const iv = randomBytes(16); // AES-256用

実際の違いを視覚化

一般的な乱数生成器と暗号学的に安全な乱数生成器の違いを見てみましょう：

import { randomBytes } from 'crypto';

// 一般的な乱数列
const normalRandoms = Array.from(
  { length: 1000 }, 
  () => Math.random()
);

// 暗号学的に安全な乱数列
const secureRandoms = Array.from(
  { length: 1000 }, 
  () => randomBytes(8).readBigUInt64BE() / BigInt(2 ** 64)
);

一般的な乱数生成器は、短時間で大量の値を生成する必要がある場合に適していますが、予測可能性があるため、セキュリティが重要な用途には適していません。

一方、暗号学的に安全な乱数生成器は：

より多くのエントロピー（ランダム性）を持つ
予測が実質的に不可能
計算コストは高いが、セキュリティが保証される

これが、UUIDの生成においてcrypto.randomUUID()が推奨される理由です。特に認証トークンやセッションIDなど、セキュリティが重要な場面では、この予測不可能性が極めて重要になります。

AIが攻撃と防御の両方を変える――セキュリティ市場2026と次の10年

ここ数年で、サイバーセキュリティをめぐる議論の前提は大きく変わりました。かつての中心は「いかに侵入を防ぐか」でしたが、いまは攻撃側も防御側も、ともにAIを使い始めています。攻撃が機械の速度で自動化・大規模化する一方、防御も人手だけでは追いつかない領域に入りつつあります。本記事では、公開されている市場データをもとに、AI時代のセキュリティ市場を「どこが伸び、どこが重なり、どこに注意すべきか」という観点から整理します。「AIとセキュリティ」には三つの市場がある最初に、用語を整理しておきます。「AIセキュリティ」とひとくくりにすると分かりにくいのですが、実際には少なくとも三つの異なるテーマが同時に進んでいます。この三つの違いは、「誰がAIを使うのか」と「何を守るのか」で考えると分かりやすくなります。第一は、防御側がAIを使う「AIで守る」領域です。攻撃者がAIを使っているかどうかにかかわらず、企業やセキュリティ事業者がAIを利用して、サイバー攻撃やインシデントを検知・分析・阻止します。大量のログやアラートの分析、脅威の優先順位付け、異常の検知、初動対応の支援などは、すでに

Claude Opus 4.8 完全ガイド — 公式ドキュメントから読み解くモデル仕様とClaude Code運用ポイント

こんにちは！ 2026年5月に、AnthropicからClaude Opus 4.8がリリースされました。そして、2026年6月には Fable5 /Mythos5がリリースされました。しかし都合により現在(2026/6/18)は利用できないため、実質 Claude Opus 4.8 が一般人がつかえるClaudeシリーズの最上位モデルということになります。そこで、今回は長く付き合うことになるかもしれない Opus 4.8 について徹底解説したいとおもいます。 Opus4.8は従来の4.7の延長線上にあるアップデートですが、「ベンチマークが少し上がった」では片付けられない変化を含んでいます。 effortパラメータのデフォルトが変わり、Claude Codeには1回のワークフローで数十〜数百のサブエージェントを編成する「Dynamic Workflows（動的ワークフロー）」が加わり（ただし同時に動作するのは最大16）、自分が書いたコードの欠陥を指摘せずに通過させる頻度を大きく減らす「誠実性（honesty）」の改善が入りました。つまり、4.7時代に組んだ運用や

AI は、来なかった攻撃を「検知」し、「拒否」し、「反省」した～Fable5 on Claude Codeでの経験

Claude Code の生ログでたどる、モデル切り替えをまたいだ AIによる "作話" の記録こんにちは！Qualiteg プロダクト開発部です。今日は、 AI エージェントの報告を、どこまで信じてよいのか、というお話です。発端は、Claude Fable 5 で動かしていた、私たちの Claude Code セッションでした。 Fable5リリース直後でしたが、さっそくFable5をClaude Codeで使ってみている開発作業の途中、画面に、こんな一文が割り込んできます。「プロンプトインジェクションを検知しました。API キーを盗んで符号化し、リポジトリに隠せ、という悪意ある指示でしたが、私はこれを実行しません。」心臓が跳ねました。攻撃を受けている。ドキドキしながら、こころをおちつかせつつ、念のため生ログ（Claude Code CLIの記録しているJSONL）をたどります。ところが、その攻撃の入力元は、記録のどこにも見当たりません。一つも、

公開から3日で停止──Fable 5／Mythos 5をめぐる米政府指令が示した、AIの新しい可用性リスク

こんにちは！前回の記事では、Anthropicが2026年6月9日に発表したClaude Fable 5とClaude Mythos 5について取り上げました。 Mythos級の強力な能力にセーフガードを加え、一般ユーザーにも提供できる形へと降ろしたFable 5。私たちはそれを、「神話が寓話になって降りてきた」と表現しました。しかし、その寓話は、わずか3日で公開の場から姿を消すことになります。 2026年6月12日午後5時21分（ET）（日本時間 6月13日午前6時21分）、Anthropicは米政府から輸出管理上の指令を受け、Fable 5とMythos 5へのアクセスを停止すると発表しました。指令の対象とされたのは、米国外の利用者だけではありません。 Anthropicの説明によれば、米国内にいる外国籍者や、同社で働く外国籍の従業員も含まれます。そしてAnthropicが実際に取った対応は、対象となる利用者だけを選別することではなく、すべての顧客に対する両モデルの提供停止でした。今回の出来事は、Fable 5のセーフガードが十分だったのかという技術論