【ITニュース解説】UUIDv47: Store UUIDv7 in DB, emit UUIDv4 outside (SipHash-masked timestamp)

UUIDとは「Universally Unique Identifier」の略で、日本語では「汎用一意識別子」と訳される。これは、世界中のあらゆる場所で、重複する可能性が極めて低い一意な識別子を生成するための規格だ。データベースのレコードやファイル名、ネットワーク上のリソースなど、様々なものを識別するために利用される。従来の連番IDなどと異なり、中央集権的な管理システムなしにそれぞれが独立してIDを生成できるため、分散システムや大規模なシステムで特に重宝される。UUIDは通常、32桁の16進数と4つのハイフンで構成され、全体で128ビットのデータとなる。

UUIDにはいくつかのバージョンが存在するが、広く使われているのがUUIDv4だ。UUIDv4は基本的にランダムな数値の組み合わせで構成されるため、予測が非常に困難でセキュリティ上有利な側面を持つ。しかし、完全にランダムであるため、生成されたIDを時系列順に並べることができないという欠点がある。データベースでUUIDv4を主キーとして使う場合、新しいデータがランダムな位置に挿入されるため、データの物理的な配置がバラバラになりやすく、データベースのインデックス効率が悪化したり、ディスクI/Oが増えたりして、パフォーマンスが低下する原因となることがある。

このUUIDv4の欠点を克服するために登場したのがUUIDv7だ。UUIDv7は、IDの先頭にタイムスタンプ（生成された時刻）の情報を含んでいる。これにより、UUIDv7は時系列順にソートすることが可能になる。データベースでUUIDv7を主キーとして使用すれば、新しいデータは常に物理的に連続した場所に書き込まれるため、インデックスの効率が向上し、データベースのパフォーマンスが改善されることが期待できる。また、時間情報が含まれるため、いつデータが作成されたかをUUIDから直接知ることもできる。

しかし、UUIDv7には別の課題がある。それは、IDにタイムスタンプが含まれるという特性が、特定の状況下でセキュリティ上のリスクとなりうる点だ。例えば、UUIDv7が外部に公開されるAPIのレスポンスやURLの一部として利用される場合、攻撃者はそのタイムスタンプからデータが作成されたおおよその時刻を知ることができる。これは、情報が特定される足がかりになったり、アクセスパターンを推測されたりするリスクにつながる可能性がある。

ここで登場するのが「UUIDv47」というアプローチだ。UUIDv47は、UUIDv7の持つデータベースパフォーマンス上の利点と、UUIDv4の持つ情報秘匿性の利点を両立させようとするものだ。その基本的な考え方は、「データベース内部ではUUIDv7を使って効率的な運用を実現し、システム外部にIDを公開する際には、そのUUIDv7からタイムスタンプ情報を隠蔽し、まるでUUIDv4であるかのように見せて出力する」というものだ。つまり、内部では時系列順に並べられるUUIDv7を使い、外部にはランダムに見えるUUIDv4形式で公開する、というハイブリッドな戦略を取る。

データベースにUUIDv7を保存する最大の利点は、先に述べたように、その時系列ソート性にある。データベースシステムは、主キーが連続して増加する（または減少する）性質を持つ場合、インデックスを効率的に管理し、新しいデータをディスクの連続した領域に書き込むことができる。これにより、データの検索や書き込みのパフォーマンスが大幅に向上する。特に、大量のデータが頻繁に追加されるシステムにおいて、このインデックスの効率性はシステムの応答速度や安定性に直結する重要な要素となる。UUIDv7はタイムスタンプ情報を持っているため、この「連続して増加する」という特性を満たし、データベースのパフォーマンス最適化に貢献する。

一方で、外部にIDを公開する際にUUIDv7をそのまま使うのではなく、UUIDv4のように見せかけるのには明確な理由がある。それは、情報漏洩のリスクを最小限に抑えるためだ。もしUUIDv7をそのまま公開してしまうと、そのIDに含まれるタイムスタンプから、そのデータがいつ生成されたかという情報が外部の利用者にも知られてしまう。この情報単体では大きな問題にならないと思えるかもしれないが、他の情報と組み合わせることで、データの生成頻度やシステムのアクティビティパターン、あるいは特定のイベント発生時刻などを推測される可能性が考えられる。これは、システムに対する攻撃の足がかりとなったり、プライバシー侵害につながったりするリスクがある。UUIDv47は、このタイムスタンプ情報を隠蔽することで、そうしたリスクを低減することを目指している。

では、UUIDv7のタイムスタンプ情報をどのように隠蔽し、UUIDv4のように見せかけるのか。この技術の核心となるのが「SipHash-masked timestamp」という手法だ。SipHashは、メッセージ認証コード（MAC）を生成するためのハッシュ関数の一種で、比較的高速で安全性が高いとされる。UUIDv47では、UUIDv7に含まれるタイムスタンプ情報の一部を、SipHashを用いてマスクする。具体的には、UUIDv7のタイムスタンプ部分に対してSipHashを適用し、そのハッシュ値を元のタイムスタンプと組み合わせたり、一部を置き換えたりすることで、元のタイムスタンプの情報を直接読み取れないようにする。

これにより、外部から見たUUIDはランダム性の高いUUIDv4のように見えるが、実際には内部でUUIDv7として管理されている。外部から得られるIDは、UUIDv4のフォーマットに従いつつも、内部のUUIDv7と一対一で対応しているため、そのIDを使って正しいデータを特定できる。しかし、そのIDからは元のタイムスタンプ情報を直接読み取ることはできないため、情報漏洩のリスクが軽減される。

UUIDv47のアプローチは、システム運用におけるパフォーマンスとセキュリティの両面でバランスの取れた解決策を提供する。データベース内部ではUUIDv7の特性を活かして効率的なデータ管理を行い、外部への情報公開においてはUUIDv4の特性を模倣することで、タイムスタンプによる情報漏洩リスクを回避する。これは、大量のデータを扱うウェブアプリケーションやAPIベースのサービスにおいて、特に有効な手法と言えるだろう。開発者は、データベースのパフォーマンスを犠牲にすることなく、また外部に機密性の高い情報が漏れるリスクを懸念することなく、一意な識別子を利用できるようになる。