<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p data-line="2" class="code-line">バリデーションと聞くと、真っ先に思い浮かぶのは「フロントでの入力チェック」という人もいるのではないでしょうか？<br>
入力フォームで必須チェックや形式チェックをして、ユーザーにわかりやすいエラーメッセージを出す。これはユーザー体験を高めるうえで欠かせない役割です。</p>
<p data-line="5" class="code-line">ただし、システムを守るという意味ではバックエンドのバリデーションが必要不可欠になります。<br>
直接APIを叩かれるケースや、不正なリクエストなどがあった場合に、バックエンド側での制御がないと簡単にシステムトラブルにつながってしまいます。</p>
<p data-line="8" class="code-line">今回は、バックエンドにおけるバリデーションの必要性や種類を整理しつつ、実際の開発でどう考えていくべきかをまとめてみました。</p>
<h1 id="%E3%83%90%E3%83%83%E3%82%AF%E3%82%A8%E3%83%B3%E3%83%89%E3%81%A7%E3%81%AE%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1" data-line="10" class="code-line">
<a class="header-anchor-link" href="#%E3%83%90%E3%83%83%E3%82%AF%E3%82%A8%E3%83%B3%E3%83%89%E3%81%A7%E3%81%AE%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1" aria-hidden="true"></a> バックエンドでのバリデーションが必要な理由</h1>
<h2 id="%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%81%A8%E3%83%90%E3%83%83%E3%82%AF%E3%81%AE%E9%81%95%E3%81%84" data-line="11" class="code-line">
<a class="header-anchor-link" href="#%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%81%A8%E3%83%90%E3%83%83%E3%82%AF%E3%81%AE%E9%81%95%E3%81%84" aria-hidden="true"></a> フロントとバックの違い</h2>
<p data-line="12" class="code-line">フロントのチェックは、ユーザビリティの向上や無駄なデータ送信の制御を目的としています。<br>
一方で、バックエンドは「セキュリティ」<br>
フロントをすり抜ける or APIだけ叩かれる場合に悪意あるリクエストを防ぎシステム上トラブルにならないように防ぐために存在します。</p>
<h2 id="%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E8%A6%B3%E7%82%B9" data-line="16" class="code-line">
<a class="header-anchor-link" href="#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E8%A6%B3%E7%82%B9" aria-hidden="true"></a> セキュリティ上の観点</h2>
<p data-line="17" class="code-line">特にAPI開発では、直接APIを叩かれることを前提にしなければなりません。<br>
「このAPIだけ直接呼ばれても業務的に問題ないか？」という問いに答えられる設計が必要です。</p>
<h1 id="%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E7%A8%AE%E9%A1%9E" data-line="21" class="code-line">
<a class="header-anchor-link" href="#%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E7%A8%AE%E9%A1%9E" aria-hidden="true"></a> バリデーションの種類</h1>
<h2 id="1.-%E5%80%A4%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" data-line="22" class="code-line">
<a class="header-anchor-link" href="#1.-%E5%80%A4%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> 1. 値のチェック</h2>
<p data-line="23" class="code-line">最も基本的なバリデーションになります。</p>
<ul data-line="24" class="code-line">
<li data-line="24" class="code-line">必須項目の存在</li>
<li data-line="25" class="code-line">型の一致（文字列・数値・日付など）</li>
<li data-line="26" class="code-line">値の範囲（0以上、100以下など）</li>
<li data-line="27" class="code-line">フォーマット（メールアドレス形式など）</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="29" class="code-line">Laravelなら <strong>FormRequest</strong> を使えば、必須・型・範囲・フォーマットといった基本チェックをまとめて書けます。</p>
</div></aside>
<h2 id="2.-%E6%A8%A9%E9%99%90%E3%83%BB%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AB%E3%82%88%E3%82%8B%E5%88%B6%E7%B4%84" data-line="32" class="code-line">
<a class="header-anchor-link" href="#2.-%E6%A8%A9%E9%99%90%E3%83%BB%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AB%E3%82%88%E3%82%8B%E5%88%B6%E7%B4%84" aria-hidden="true"></a> 2. 権限・ロールによる制約</h2>
<p data-line="33" class="code-line">「どの権限をもつユーザーが操作できるのか？」という制御です。</p>
<ul data-line="34" class="code-line">
<li data-line="34" class="code-line">一般ユーザーは閲覧のみ、管理者は作成・更新可能</li>
<li data-line="35" class="code-line">特定のロールだけが実行できるAPI</li>
<li data-line="36" class="code-line">操作対象データが自分の所有物かどうかのチェック</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="38" class="code-line">管理画面やBtoBシステムでは、権限の境界を誤ると大きなトラブルに直結します。<br>
誰がどこまで操作できるかをきちんと制御しましょう！</p>
</div></aside>
<h2 id="3.-%E6%A5%AD%E5%8B%99%E3%83%AD%E3%82%B8%E3%83%83%E3%82%AF%E4%B8%8A%E3%81%AE%E5%88%B6%E7%B4%84" data-line="42" class="code-line">
<a class="header-anchor-link" href="#3.-%E6%A5%AD%E5%8B%99%E3%83%AD%E3%82%B8%E3%83%83%E3%82%AF%E4%B8%8A%E3%81%AE%E5%88%B6%E7%B4%84" aria-hidden="true"></a> 3. 業務ロジック上の制約</h2>
<p data-line="43" class="code-line">ここからがバックエンドバリデーションの肝とも言えます。<br>
システム固有の仕様を守るためのチェックです。</p>
<ul data-line="46" class="code-line">
<li data-line="46" class="code-line">
<strong>存在チェック</strong>：更新対象のデータが存在するか</li>
<li data-line="47" class="code-line">
<strong>状態チェック</strong>：すでにキャンセルされた注文を再度キャンセルできないようにする</li>
<li data-line="48" class="code-line">
<strong>在庫チェック</strong>：在庫数を超える注文を防ぐ</li>
<li data-line="49" class="code-line">
<strong>二重送信防止</strong>：同じリクエストで注文が2回通らないようにする</li>
<li data-line="50" class="code-line">
<strong>整合性チェック</strong>：注文実行時にカートの中身が空でないか確認する</li>
</ul>
<p data-line="52" class="code-line"><strong>業務ロジック上の制約</strong>って聞くと、何から始めたらいいんだろう？と悩みますが、シンプルに3つの工程（<strong>前提条件・事後条件・禁止事項</strong>）に分けると整理しやすいです。</p>
<h3 id="3-1.%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6" data-line="54" class="code-line">
<a class="header-anchor-link" href="#3-1.%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6" aria-hidden="true"></a> 3-1.前提条件</h3>
<p data-line="55" class="code-line">「この処理を始める前に、必ず成り立っていてほしいこと」です。<br>
例えば、注文確定であれば、</p>
<ul data-line="57" class="code-line">
<li data-line="57" class="code-line">カートに商品が1件以上入っている</li>
<li data-line="58" class="code-line">合計金額が0円ではない</li>
<li data-line="59" class="code-line">注文商品の在庫が確保できている</li>
</ul>
<p data-line="61" class="code-line">このようなことが事前確認として必要です。</p>
<h3 id="3-2.%E4%BA%8B%E5%BE%8C%E6%9D%A1%E4%BB%B6" data-line="63" class="code-line">
<a class="header-anchor-link" href="#3-2.%E4%BA%8B%E5%BE%8C%E6%9D%A1%E4%BB%B6" aria-hidden="true"></a> 3-2.事後条件</h3>
<p data-line="64" class="code-line">「処理が終わったあとに、こうなっていなければおかしい」ということです。<br>
注文終了後であれば、</p>
<ul data-line="66" class="code-line">
<li data-line="66" class="code-line">注文ステータスが完了になっていること</li>
<li data-line="67" class="code-line">カートが空になっていること</li>
<li data-line="68" class="code-line">在庫が減っていること</li>
<li data-line="69" class="code-line">ポイント付与処理が行われていること</li>
</ul>
<p data-line="71" class="code-line">などがチェックポイントになります。</p>
<h3 id="3-3.%E7%A6%81%E6%AD%A2%E9%81%B7%E7%A7%BB" data-line="73" class="code-line">
<a class="header-anchor-link" href="#3-3.%E7%A6%81%E6%AD%A2%E9%81%B7%E7%A7%BB" aria-hidden="true"></a> 3-3.禁止遷移</h3>
<p data-line="74" class="code-line">「この状態からは進ませてはいけない」というルールです。<br>
例えば、</p>
<ul data-line="76" class="code-line">
<li data-line="76" class="code-line">キャンセル済みの注文をもう一度確定処理できてしまう</li>
<li data-line="77" class="code-line">注文に失敗したのに、注文完了メールが届いてしまう<br>
このような状態になってしまったらシステムとしての整合性が崩れてしまいます。<br>
このような<strong>やってはいけない動き</strong>を止めることが大事です。</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="82" class="code-line">業務ロジック上の制約ってなにかあるかな？という観点で考えると、どこから手をつけていいのか分かりづらくなるかもしれません。そんなときは、「前提条件」、「事後条件」、「禁止遷移」のルール何かないかな？という観点で見てみると、システムとして守るべき内容が整理しやすくなります。</p>
</div></aside>
<h2 id="4.%E5%A4%96%E9%83%A8%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D" data-line="85" class="code-line">
<a class="header-anchor-link" href="#4.%E5%A4%96%E9%83%A8%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D" aria-hidden="true"></a> 4.外部サービスを利用するとき</h2>
<p data-line="86" class="code-line">バックエンドのバリデーションで特に気をつけたいのが、外部サービスを利用する処理です。<br>
決済や配送、認証など、外部APIを順番に呼び出して処理を進めることはよくあります。</p>
<p data-line="89" class="code-line">こうしたケースで陥りがちなのが、「1つ目のAPIでバリデーションしているから大丈夫だろう」と安心してしまうことです。例えば、最初のリクエストでカートの状態をチェックしていたとしても、2つ目や3つ目のAPIが直接呼ばれてしまうと、想定外の状態で処理が進んでしまうリスクがあります。</p>
<p data-line="91" class="code-line">実際、フロントの不具合や外部からの不正リクエストによって「2つ目だけが単独で呼ばれる」といった事象は起こりえます。もしそのAPI側でもチェックを入れていなければ、整合性が崩れてサービス全体に影響が出る可能性があります。</p>
<ul data-line="93" class="code-line">
<li data-line="93" class="code-line">各APIごとに最低限のバリデーションを入れておく</li>
<li data-line="94" class="code-line">前提条件（カートが空でない、対象データが存在するなど）を毎回確認する</li>
<li data-line="95" class="code-line">「最初のAPIを通っていること」を前提にしない</li>
</ul>
<p data-line="97" class="code-line">こうした意識を持つことで、不具合や不正アクセスに強い仕組みを作ることができます。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="100" class="code-line">外部サービスを叩く場合は、「どのAPIが単独で呼ばれても安全か？」という観点で設計することが重要です。</p>
</div></aside>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="103" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p data-line="104" class="code-line">フロントのバリデーションは「ユーザーのため」、バックエンドのバリデーションは「システムを守るため」。この2つは似ているようで役割が大きく異なります。</p>
<p data-line="106" class="code-line">バリデーション処理をただこなす作業にするのではなく、<strong>システム全体の安全装置</strong>としてどう設計するのかを考えることが大切です。</p>
<p data-line="108" class="code-line">ぜひ、自分のプロジェクトでも「この処理を始める前に何を確認すべき？」「終わったあとどうなっているべき？」「絶対にやらせちゃいけない動きは？」と問いかけながら、バリデーションを設計してみてください。</p>


バックエンドとしてのバリデーションを考える

バックエンドでのバリデーションが必要な理由

4.外部サービスを利用するとき

Discussion