リクルーティングサイト
テックブログ

バリデーション設計入門:入力チェックをどこで行うべきか

バリデーション設計入門:入力チェックをどこで行うべきか

バリデーションは、ユーザー入力やAPIリクエストの値が、期待した条件を満たしているか確認する処理です。フロントエンドでは入力しやすさと早い気づきを支え、バックエンドでは不正な値や想定外のリクエストを防ぎ、DB制約では最後の整合性を守ります。つまり、バリデーションは「フォームの赤いエラー表示」だけではなく、アプリ全体でデータの正しさを守る設計そのものです。

1. バリデーションとは何か

1-1. 入力値が条件を満たすか確認する処理

バリデーションとは、入力された値が決められた条件を満たしているか確認する処理です。フォーム入力でもAPIでも、「受け取った値をそのまま信用しない」ために行います。

たとえば、名前が必須なのに空欄になっていないか、年齢が0未満になっていないか、メールアドレスが明らかに変な形になっていないか、という確認がバリデーションです。ここで見る条件には、必須チェック、文字数、数値範囲、形式、日付の前後関係などがあります。つまり、値の「形」と「意味」の両方を見るのがバリデーションです。

初心者のうちは「エラーが出るかどうか」だけに意識が向きやすいですが、本当の目的は不正なデータを中へ入れないことです。画面入力だけでなく、CSV取り込みやAPI連携でも同じ考え方が必要なので、「どこから来た入力でも確認する」という前提を持つと整理しやすくなります。

1-2. ユーザー体験とデータ保護の両方に関わる

バリデーションは、ユーザー体験を良くする役割と、データを守る役割の両方を持っています。どちらか片方だけでは十分ではありません。

フロントエンドで入力中にエラーを出せば、ユーザーはすぐに間違いへ気づけます。これは使いやすさに直結します。一方で、バックエンドやDBでも確認しないと、不正な値や想定外のリクエストがそのまま保存される可能性があります。つまり、同じ「入力チェック」でも、フロントは使いやすさ、バックエンドとDBは正しさを守る役割が強いです。

たとえば会員登録フォームで、メール形式をフロントで確認するのは入力しやすさのためです。しかし、同じメールアドレスが重複して登録されないように守るのは、バックエンドやDBの役割です。バリデーションを考えるときは、「誰のためのチェックか」を分けて考えると設計しやすくなります。

1-3. チェック漏れが起きると何が困るか

バリデーション漏れが起きると、ユーザーの混乱だけでなく、データ不整合や障害の原因になります。見た目の問題で終わらないことが多いです。

たとえば、本来必須の値が空のまま保存されると、後から一覧画面や帳票でエラーになることがあります。数値範囲のチェックがなければ、ありえない在庫数や金額が登録されるかもしれません。さらに、APIで受け取る値を確認しないと、意図しないデータや攻撃的な入力が内部へ入る危険もあります。

チェック漏れは「入力時に楽をした分だけ、後で高くつく」問題です。特に実務では、登録時には気づかず、集計や外部連携のタイミングで初めて壊れることがあります。だからこそ、バリデーションは画面単位ではなく、データの流れ全体で考える必要があります。

2. フロントエンドで行うバリデーション

2-1. 入力中に気づけるエラー表示

フロントエンドのバリデーションは、ユーザーがその場で間違いに気づけるようにするために行います。これは主に入力しやすさを支える役割です。

たとえば、必須項目が空ならすぐにメッセージを出す、メールアドレスの形式が明らかに違うなら送信前に知らせる、といった動きです。これにより、送信してからエラーになる回数を減らせます。ユーザーにとっては、「どこが悪いか」「どう直せばよいか」が早く分かるほど使いやすいです。

ただし、入力のたびに厳しすぎるエラーを出すと、逆に使いにくくなることもあります。たとえば、メールアドレスを打ち終わる前から毎文字赤くなると、気持ちよく入力できません。フロントのバリデーションは、正しさだけでなくタイミングも設計の一部です。

2-2. 必須、文字数、形式チェックの例

フロントエンドでよく行うのは、必須、文字数、形式チェックです。これらは入力欄に近い場所で確認しやすく、ユーザーにも意味が伝わりやすいです。

必須チェックは「空ではいけない」を見るものです。文字数チェックは、ユーザー名やパスワード、コメントの上限・下限を確認します。形式チェックは、メールアドレス、電話番号、郵便番号のように、ある程度決まった形を期待するときに使います。これらは比較的シンプルなので、フロント側でも実装しやすいです。

<input type="email" name="email" required minlength="5" />

この例のように、HTMLの属性だけでも一部のバリデーションはできます。注意点は、これで全部守れるわけではないことです。ブラウザごとの差や回避方法もあるため、フロントで気づきやすくしつつ、同じ条件を必要に応じてバックエンド側でも確認する考え方が大切です。

2-3. フロントだけでは不十分な理由

フロントエンドのチェックだけでは、不正な入力を完全には防げません。フロントはユーザー体験には強いですが、信頼境界の最後にはできないからです。

理由は単純で、フロントのコードは利用者の手元で動いているからです。ブラウザの開発者ツールで値を書き換えたり、APIを直接たたいたり、独自のクライアントからリクエストを送ったりできます。つまり、画面の制約を通らない入力経路はいくらでもあります。フロントのチェックは便利ですが、「通った値だけがサーバへ来る」とは限りません。

そのため、フロントは入力支援、バックエンドは最終確認、という役割分担が必要です。「フロントで見たから大丈夫」と考えるのが一番危険です。逆に、フロントで何もしないのも使いづらいので、両方で役割を分けるのが現実的です。

3. バックエンドで行うバリデーション

3-1. APIに届いた値を必ず検証する

バックエンドでは、APIに届いた値を必ず検証するのが基本です。ここは「最後にアプリとして受け止める場所」なので、入力元を信用しない前提が必要です。

フロントから来た値でも、外部システムから来た値でも、APIに届く時点ではただの入力データです。バックエンドでは、必須項目、型、文字数、数値範囲、列挙値、存在確認などを見て、受け入れてよいかを判断します。ここを抜くと、不正な値がそのまま業務ロジックやDBへ入ってしまいます。

たとえば、商品登録APIなら、商品名が空でないか、価格が0以上か、カテゴリIDが存在するか、などを確認します。画面が1つしかない小さなアプリでも、将来別のクライアントやバッチが増えることがあります。だからこそ、バックエンドのバリデーションは「今の画面のため」ではなく、「アプリ全体の入口を守るため」と考えると分かりやすいです。

3-2. 業務ルールや権限チェックとの違い

バックエンドでは、値の妥当性チェックと、業務ルールや権限チェックを分けて考えることが大切です。全部まとめて「バリデーション」と呼ぶと、設計が曖昧になりやすいです。

たとえば、「メールアドレスが空でない」は入力値の妥当性です。一方で、「同じメールアドレスで二重登録できない」は業務ルールに近いです。また、「このユーザーは管理者だけが変更できる項目を更新してよいか」は権限の話です。これらは全部重要ですが、役割が違うので、エラーの意味も返し方も少し変わります。

実務では、入力値のバリデーション、業務ルール、認可を分けて考えると、コードもメッセージも整理しやすいです。初心者のうちは全部を1か所に書きがちですが、「値そのものが変か」「ルール違反か」「その人に権限がないか」を意識して分けると、後から直しやすい設計になります。

3-3. エラーレスポンスの返し方

バックエンドのバリデーションでは、エラーが起きたときに、何が悪いかを分かる形で返すことが重要です。ただ失敗させるだけでは、使う側が困ります。

たとえば、どの項目が不正か、どんな条件を満たしていないかを返せると、フロント側で分かりやすく表示できます。逆に、「Bad Request」だけで詳細がないと、ユーザーも開発者も原因を追いにくくなります。ただし、内部構造や危険な詳細を出しすぎるのもよくないので、利用者に必要な範囲で分かる形にするのが基本です。

{
  "error": "validation_error",
  "fields": {
    "email": "メールアドレスの形式が正しくありません",
    "password": "8文字以上で入力してください"
  }
}

このように、項目ごとのエラーを返すとフロントで扱いやすくなります。注意点は、DBエラーや内部例外をそのまま返さないことです。ユーザーに必要な情報と、内部実装の情報は分けて考えるほうが安全です。

4. DB制約で守る最後の砦

4-1. NOT NULL、UNIQUE、CHECK制約の役割

DB制約は、最後の砦としてデータの整合性を守る役割を持ちます。アプリ側で見逃しても、DBで止められる状態を作るのが重要です。

代表的なのは、NOT NULL で空を禁止する制約、UNIQUE で重複を防ぐ制約、CHECK で数値範囲や条件を守る制約です。これらは、どのアプリケーションやバッチから書き込まれても共通で効きます。つまり、DB制約は「どの入口から来ても守る」ための仕組みです。

たとえば、メールアドレスを一意にしたいなら、アプリ側の重複チェックだけでなく、DBにもUNIQUE制約を付けるのが基本です。アプリが増えたり、並行処理が起きたりすると、アプリ側の確認だけでは防ぎきれない場面があります。だからこそ、DBでも同じ意図を支える必要があります。

4-2. アプリ側チェックとDB制約の違い

アプリ側のチェックとDB制約は、似ているようで役割が違います。どちらか片方で十分、とは考えないほうが安全です。

アプリ側は、ユーザーへ分かりやすくメッセージを返したり、業務ルールに合わせて柔軟に判定したりするのが得意です。一方、DB制約は、最終的に「この値は入れてはいけない」を強制できます。つまり、アプリ側は説明と事前防止、DB側は最終保証という違いがあります。

たとえば、会員登録でメールアドレス重複を事前チェックしても、同時に2人が同じメールアドレスで登録したら競合が起きることがあります。このとき、本当に守るのはDBのUNIQUE制約です。アプリ側だけに頼ると、並行処理や別システム経由の書き込みで穴ができます。

4-3. 二重チェックが必要になる理由

フロント、バックエンド、DBで同じような確認をするのは無駄に見えるかもしれませんが、役割が違うので二重・三重のチェックが必要になります。これは重複ではなく、守る場所を分けている状態です。

フロントは使いやすさのため、バックエンドは不正入力を受け入れないため、DBは最後の整合性保証のためにあります。たとえば必須チェックひとつ取っても、フロントでは入力漏れに早く気づけて、バックエンドでは直接APIをたたく不正入力を防げて、DBでは保存時の事故を止められます。同じ条件でも意味が少しずつ違います。

「同じことを3回書くのは無駄」と感じるかもしれませんが、実際には役割の違う場所で守っているだけです。チェックが重なることより、どこにも最終保証がないことのほうが危険です。設計では、重複を減らすより、抜けを作らないことを優先したほうがよい場面が多いです。

5. よくある設計ミス

5-1. フロントだけでチェックしてしまう

一番多い設計ミスは、フロントだけで入力チェックして安心してしまうことです。これは初心者が特にやりやすい落とし穴です。

画面上でエラーが出ていると、しっかり守れているように見えます。しかし、実際にはAPIを直接呼べばその画面を通らないことがあります。ブラウザの制限も、外部ツールや別クライアントからのリクエストには効きません。つまり、フロントだけのチェックは「親切」ではあっても、「防御」にはなりきりません。

もし今のアプリでフロントしか見ていないなら、まずはAPIで受けた値の必須・型・範囲チェックから追加するのがよいです。バリデーションはUI機能ではなく、システム全体のルールだと考えると、このミスを避けやすくなります。

5-2. エラーメッセージがユーザーに分かりにくい

バリデーションがあっても、エラーメッセージが分かりにくいと、ユーザーは直し方が分かりません。正しく止めることと、正しく伝えることは別の設計です。

たとえば、「入力が不正です」だけでは、どこを直せばよいか分かりません。反対に、内部の制約名やDBエラーをそのまま出すと、意味が伝わらないうえに情報を出しすぎることもあります。ユーザーに必要なのは、「どの項目が」「どう間違っているか」が分かるメッセージです。

実務では、「メールアドレスを入力してください」「8文字以上で入力してください」のように、次の行動が分かる表現へ寄せると使いやすくなります。エラーメッセージも設計対象だと考えると、単に止めるだけのバリデーションから一歩進めます。

5-3. 境界値の確認が漏れる

初心者が見落としやすいのが、境界値の確認です。「空かどうか」だけ見て満足すると、ギリギリの値で不具合が起きやすくなります。

たとえば、文字数上限が20文字なら、19文字、20文字、21文字を確認する価値があります。年齢が0以上120以下なら、-1、0、120、121を見ると条件ミスに気づきやすいです。境界値は、条件式の書き間違いが一番出やすい場所です。

テストや仕様確認でも、「正常な1例」だけで終わらず、境界の前後を見る習慣を付けるとバリデーション設計がかなり強くなります。特に必須、最小値、最大値、文字数制限は、境界値セットで考えると漏れを減らせます。

6. まとめ

6-1. フロント、バックエンド、DBの役割整理

バリデーション設計で大切なのは、フロント、バックエンド、DBの役割を分けて考えることです。どこか1か所だけで全部を守ろうとすると、使いづらさか抜け漏れのどちらかが出やすくなります。

フロントは入力しやすさと早い気づき、バックエンドはAPIの入口として不正な値を止める役割、DBは最後の整合性保証を担当します。同じ条件でも、守っている意味が違うため、複数箇所でチェックすることに意味があります。バリデーションは「画面の機能」ではなく、「データを守る設計」だと捉えると全体が整理しやすいです。

最初は全部を完璧に分けるのが難しくても、「フロントだけに任せない」「DB制約も考える」という2点を意識するだけでかなり変わります。入力チェックをどこで行うか迷ったら、「使いやすさ」「正しさ」「最後の保証」のどれを担当するかで考えると整理しやすいです。

6-2. 入力チェック設計のチェックリスト

最後に、入力チェック設計で最低限見ておきたいポイントを整理します。全部を難しく考えるより、この基本を外さないことが大切です。

  • フロントで必須・文字数・形式チェックを行っているか
  • バックエンドでAPI入力を必ず検証しているか
  • 業務ルールと権限チェックを分けて考えているか
  • DBにNOT NULLやUNIQUEなど必要な制約があるか
  • エラーメッセージがユーザーに分かる形になっているか
  • 境界値(最小・最大・前後)を確認しているか

このチェックリストを使うだけでも、「とりあえずフロントで赤くしたから終わり」という状態を避けやすくなります。バリデーションは地味ですが、アプリの信頼性を支える基本設計のひとつです。

7. 参考リンク

関連記事