【ITニュース解説】UUIDv47: keep v7 in your DB, emit v4 outside (SipHash-masked timestamp)

UUIDv47という新しいアイデアについて解説する。このアイデアは、データベース内部でのUUIDの扱われ方と、外部に公開されるUUIDの見た目を使い分けることで、システム開発における複数の課題を解決しようとするものだ。

まず、UUID（Universally Unique Identifier）とは何かを説明する。UUIDは、コンピューターシステム内で情報を一意に識別するための128ビットの数値だ。例えば、データベースのレコードを識別するIDや、ネットワーク上でデバイスを識別するIDなど、その用途は多岐にわたる。UUIDは、その名の通り「普遍的に一意」であり、世界中のどこで、どのシステムで生成されても、他のUUIDと重複する可能性が極めて低いという特徴を持つ。

UUIDにはいくつかのバージョンがあり、それぞれ異なる特性を持っている。今回の話題で特に重要なのはUUIDv4とUUIDv7だ。

UUIDv4は「ランダムUUID」とも呼ばれる。その名の通り、ほとんどの部分がランダムな数値で構成されており、生成されたIDからは、いつ、どこで生成されたかといった情報を読み取ることは非常に難しい。このランダム性は、セキュリティやプライバシーの観点からはメリットとなる。外部の人間がUUIDから意味のある情報を推測できないため、システムの内部構造や動作パターンを隠蔽できる。しかし、ランダムであるという特性は、データベースのパフォーマンスにとっては課題となる場合がある。ランダムなIDを主キーとして使うと、データベースがデータを保存する際に、物理的なディスク上の様々な場所に分散して書き込むことになるため、インデックスの効率が低下し、データの読み書きが遅くなる可能性がある。

一方、UUIDv7は比較的新しいバージョンのUUIDで、その最大の特徴は「タイムスタンプ」の情報を含んでいることだ。UUIDv7は、IDの先頭部分に生成された時刻の情報が埋め込まれているため、生成されたIDは時間とともにほぼ単調に増加する（ほぼ順番通りに並ぶ）。この「時間順」という特性は、データベースにとって非常に都合が良い。データを追加する際に、インデックスの最後に新しいエントリが追記される形になるため、データベースのインデックス構造が効率的に保たれ、データの挿入や検索のパフォーマンスが向上しやすい。また、IDそのものから作成日時を把握できるという利便性もある。しかし、この「タイムスタンプ情報」が外部に公開されることには、セキュリティ上およびプライバシー上の懸念がある。例えば、公開されたUUIDv7から、そのシステムがいつIDを生成したか、どれくらいの頻度でIDが発行されているかといった情報を外部の攻撃者が推測できてしまう可能性がある。これは、システムの脆弱性を探る手がかりを与えてしまうリスクにつながりかねない。

そこで考案されたのが「UUIDv47」という新しいアイデアだ。このアイデアの目的は、UUIDv7の持つ「データベースでのソート性やインデックス効率の良さ」というメリットをシステム内部では享受しつつ、外部に対してはUUIDv4のように「タイムスタンプ情報が漏洩しないランダムなID」として見せることにある。

具体的な仕組みを見ていこう。 まず、システム内部、特にデータベースでは、UUIDv7をそのまま使用する。これにより、データベースは時間順に並んだIDを活用でき、高いパフォーマンスを維持できる。 次に、このUUIDv7がシステム外部（例えば、WebAPIのレスポンスやURLの一部など）に公開される直前で、特別な「変換処理」が適用される。この変換処理によって、UUIDv7が持つタイムスタンプ部分を隠蔽し、あたかもUUIDv4であるかのようにランダムに見える文字列に加工する。

この隠蔽処理の中核を担うのが、「SipHash-masked timestamp」という技術だ。SipHashは、特定の入力データと「秘密の鍵」を使って、一見ランダムに見えるが、実は鍵と入力データに依存した固定長のハッシュ値（短いデータ）を生成するハッシュ関数の一種だ。このハッシュ値は、入力データが少しでも変わると大きく変化する性質を持ち、鍵を知らない第三者には、その生成プロセスを推測できないというセキュリティ特性がある。

UUIDv47では、UUIDv7の48ビットのタイムスタンプ部分を、このSipHashを使って生成された「マスク値」とXOR演算（排他的論理和）で組み合わせる。XOR演算は、二つのビット列を比較し、同じビットなら0、異なるビットなら1を返す演算だ。この演算の重要な特性は、「同じ値で二回XOR演算を行うと元の値に戻る」という点だ。つまり、「元のタイムスタンプ ⊕ マスク値 = 隠蔽されたタイムスタンプ」という変換を行い、外部にはこの隠蔽されたタイムスタンプを含むUUIDを公開する。システム内部では、この隠蔽されたタイムスタンプに対し、再度同じマスク値をXOR演算することで、「隠蔽されたタイムスタンプ ⊕ マスク値 = 元のタイムスタンプ」と正確に元のタイムスタンプを復元できる。

このマスク値は、UUIDのランダムな部分と、システムのみが知る「秘密の鍵」をSipHashに入力することで生成される。鍵を知らない外部の人間はマスク値を特定できないため、外部に公開されたUUIDの見た目からは、元のタイムスタンプを推測することは不可能となる。また、UUIDのバージョン番号も、内部ではv7だが、外部に公開する際にはv4に切り替える。これにより、外部からは純粋なUUIDv4と区別がつかなくなる。UUIDの他のランダムビットやRFCバリアントといった部分は、この変換処理で変更されることはない。

この変換処理は、元のUUIDv7と完全に一対一で対応する。つまり、同じUUIDv7からは常に同じUUIDv47が生成され、そのUUIDv47から元のUUIDv7へも完全に正確に復元できる。もし誤った鍵を使って復元しようとすれば、正しいタイムスタンプは得られないため、鍵の管理はセキュリティ上極めて重要だ。秘密の鍵は定期的に更新することも可能であり、その際はUUIDとは別に鍵のバージョンIDなどを管理することで対応できる。

このUUIDv47の仕組みは、システム全体のセキュリティとプライバシーを向上させつつ、データベースのパフォーマンスを維持するという非常に魅力的な解決策を提供する。外部の観察者からシステムの内部動作やIDの発行頻度を隠蔽できるため、WebサービスやAPI開発において特に有用だ。

この変換処理にかかる性能も非常に高速だ。ベンチマークテストの結果では、UUIDv7をUUIDv47に変換し、さらに元のUUIDv7に復元する一連の処理が、約33ナノ秒という極めて短い時間で完了することが示されている。これは、1秒間に約3000万回以上の変換処理が可能であることを意味し、ほとんどのシステムにおいてパフォーマンスに与える影響は無視できるほど小さい。実装もシンプルで、標準的なC言語の機能のみを使用し、外部ライブラリに依存せず、メモリの動的な確保も行わないため、非常に軽量で高速に動作する。

このように、UUIDv47は、データベース内部ではUUIDv7の持つ優れたソート性とインデックス効率を活用し、外部にはタイムスタンプ情報を隠蔽したUUIDv4として公開するという、異なるニーズを同時に満たす賢いアプローチだ。この技術により、システムのセキュリティとプライバシーを向上させながら、データベースの高性能を維持することが可能になる。