C++ のアクセス指定子: public, private, protected

誰があなたのデータに触れられるか

最初のクラスを書いたとき、あなたはおそらくすべてのメンバーを外の世界にさらけ出したことでしょう。それでも動きますが、クラスが存在する主な理由の 1 つを捨てています。すなわち カプセル化 — クラスの内部状態を隠し、プログラムの残りの部分が制御された表面を通じてのみそれとやり取りできるようにすることです。アクセス指定子は、その境界を引くための手段です。

ちょうど 3 つあります。public、private、protected です。それぞれが後続のメンバーにラベルを付け、そのラベルがどのコードに読み書きを許すかを決めます。これを正しく行えばクラスは自らのルールを強制します。間違えれば、どこかのどんなバグでもオブジェクトの状態を壊しかねません。

3 つの指定子

指定子はキーワードの後にコロンを付けたものです。その後に宣言されたすべてのメンバーは、次の指定子までそのアクセスレベルに属します。

#include <iostream>
using namespace std;

class Account {
public:
    void deposit(double amount) { balance += amount; }  // 誰でも呼び出せる
    double getBalance() const { return balance; }       // 誰でも読み取れる

private:
    double balance = 0.0;   // これに触れられるのは Account 自身のコードだけ
};

int main() {
    Account a;
    a.deposit(100.0);
    cout << a.getBalance() << endl; // 100
    // a.balance = 999999;          // エラー: balance は private
    return 0;
}

最後の行のコメントを外すと、コンパイラはビルドを拒否します。balance は private なので、main はそれに直接手を出せません。これが狙いです。残高を変更する唯一の方法は deposit を通すことであり、つまり後から検証（マイナスの入金を禁止、ロギング、上限）を 1 か所 に追加でき、それが常に適用されると信頼できるのです。

完全な内訳は次のとおりです。

//             どこからアクセスできるか...
// public      どこからでも（そのオブジェクトを持つ任意のコード）
// private     同じクラス自身のメンバーのみ（+ friend）
// protected   同じクラスのメンバー および 派生クラス（+ friend）

class と struct: デフォルト

指定子ブロックは好きなだけ、好きな順序で書けます。最初の指定子を書く 前 のメンバーが何になるかは、class を使ったか struct を使ったかで決まります。

• class では、メンバーはデフォルトで private です。
• struct では、メンバーはデフォルトで public です。

このデフォルトこそが、2 つのキーワード間の 唯一の 言語レベルの違いです。struct も class と同じようにメソッド、コンストラクタ、private セクションを持てます。

#include <iostream>
using namespace std;

class Locked {
    int secret = 42;   // デフォルトで private - 指定子は不要
};

struct Open {
    int value = 7;     // デフォルトで public
};

int main() {
    Open o;
    o.value = 99;           // 問題なし: public
    cout << o.value << endl; // 99

    // Locked l;
    // l.secret = 1;         // エラー: secret は private
    return 0;
}

慣例として、公開データを束ねるだけのものには struct を、振る舞いと隠された状態が欲しいときには class を使います。ただしコンパイラはそれを強制しません。違うのはデフォルトだけです。

ゲッターとセッターによるカプセル化

日常的なパターンはこうです。データは private セクションに入れ、public メソッドが制御されたアクセスを与えます。読み取り専用の ゲッター は値を返し、セッター は代入する前に検証します。ここで private が報われます。

#include <iostream>
using namespace std;

class Temperature {
public:
    void setCelsius(double c) {
        if (c < -273.15) {          // 物理的にこれより低くはできない
            cout << "Ignoring impossible temperature\n";
            return;
        }
        celsius = c;
    }
    double getCelsius() const { return celsius; }
    double getFahrenheit() const { return celsius * 9.0 / 5.0 + 32.0; }

private:
    double celsius = 0.0;
};

int main() {
    Temperature t;
    t.setCelsius(25);
    cout << t.getCelsius() << " C = " << t.getFahrenheit() << " F\n";

    t.setCelsius(-500);             // 拒否され、状態は有効なまま
    cout << t.getCelsius() << " C\n"; // まだ 25
    return 0;
}

celsius が private であるため、無効な値を忍び込ませる方法はありません。あらゆる書き込みは不変条件を守る setCelsius を通さなければなりません。ゲッターが const でマークされていることに注目してください。これらはオブジェクトを変更しないと約束しているので、const Temperature オブジェクトに対しても呼び出せます。

protected と継承

protected が意味を持つのは、継承が登場したときだけです。外部コードに対しては private のように振る舞いますが、派生クラス は アクセスできます。サブクラスが正当に必要とするものの、外部にはやはり持たせるべきでないメンバーに使います。

#include <iostream>
#include <string>
using namespace std;

class Animal {
protected:
    string name = "unknown";   // サブクラスはこれを使ってよい...

public:
    void setName(const string& n) { name = n; }
};

class Dog : public Animal {
public:
    void speak() const {
        // 'name' は protected なので、Dog は直接読み取れる
        cout << name << " says Woof!\n";
    }
};

int main() {
    Dog d;
    d.setName("Rex");
    d.speak();            // Rex says Woof!
    // cout << d.name;    // エラー: protected は外部コードには立ち入り禁止
    return 0;
}

初心者によくある間違いは、「サブクラスが必要とするかもしれないから」とすべてのデータメンバーに protected を使うことです。これはクラスのコントラクトを密かに広げてしまいます。今やすべてのサブクラスがそのフィールドに依存しうるため、自由に変更できなくなります。private を優先し、派生クラスが本当にアクセスを必要とするときだけ protected に格上げしましょう。

friend という抜け道

ときには、外部の関数やクラス 1 つが正当にあなたの内部を見る必要があります。典型的な例は、メンバーにできない << のような演算子です。friend キーワードは、その名指しした 1 つの存在にあなたの private および protected メンバーへのアクセスを与え、それ以外には何も与えません。

#include <iostream>
using namespace std;

class Point {
public:
    Point(int x, int y) : x(x), y(y) {}

    // この特定の関数に private メンバーへのアクセスを与える
    friend ostream& operator<<(ostream& os, const Point& p);

private:
    int x, y;
};

ostream& operator<<(ostream& os, const Point& p) {
    return os << "(" << p.x << ", " << p.y << ")"; // private な x, y を読める
}

int main() {
    Point p(3, 4);
    cout << p << endl; // (3, 4)
    return 0;
}

friend は意図的で外科的な例外です。クラス自身が誰を信頼するかを正確に名指しするので、外部から自分自身にアクセス権を与えることはできません。控えめに使いましょう。たくさんの friend を追加していることに気づいたら、そもそもメンバーが private であるべきではなかったか、設計を見直す必要があるかのどちらかでしょう。

避けるべきよくある間違い

• すべてのメンバーを public にする。 簡単に感じますが、カプセル化がもたらす検証と不変条件をすべて失います。デフォルトは private データと public メソッドにしましょう。
• class のデフォルトを忘れる。 class Foo { int x; }; は x を private にするので、foo.x = 5 はコンパイルできません。単なるデータの束のつもりなら、struct を使うか public: ラベルを追加しましょう。
• protected を使いすぎる。 これは private より弱い境界で、継承のときだけ関係します。あちこちで使うと、変更したいかもしれないフィールドにサブクラスを結びつけてしまいます。
• private をセキュリティ機能と期待する。 これは偶発的なアクセスを防ぐ コンパイル時 のルールであって、暗号化ではありません。バイトは依然としてメモリ上にあります。private はきれいな設計のためのものであり、秘匿のためではありません。

次へ: 構造体

これで、struct が実はメンバーがデフォルトで public なだけの class であることがわかりました。次のページ、構造体では、この「デフォルトで public」というデフォルトがまさに望ましい場面 — 関連する値をまとめる軽量な集約 — と、struct が機能完備なクラスと並んで慣用的な C++ でどう使われるかを掘り下げます。