sg sg-technology network it_security_operations
まず結論
SaaS・PaaS・IaaSの違いは、クラウド事業者がどこまで用意してくれるかです。
ざっくり整理すると、次のようになります。
| 種類 | 利用者が主に使うもの | クラウド事業者が提供する範囲 |
|---|---|---|
| SaaS | 完成したソフトウェア | アプリケーションまで提供 |
| PaaS | 開発・実行環境 | OSやミドルウェアまで提供 |
| IaaS | サーバやネットワーク | インフラ部分を提供 |
SG試験では、SaaS・PaaS・IaaSを単なる略語として覚えるより、利用者がどこまで管理する必要があるかで判断することが大切です。
選択肢では、次のように見ます。
- 完成したアプリを使うだけなら SaaS
- アプリを作って動かす土台を使うなら PaaS
- サーバやネットワークなどの基盤を借りるなら IaaS
直感的な説明
SaaS・PaaS・IaaSは、料理にたとえると分かりやすいです。
| 種類 | 料理のたとえ | 利用者がすること |
|---|---|---|
| SaaS | レストランで料理を食べる | 完成品を利用する |
| PaaS | 調理済みの材料とキッチンを使う | 自分で料理を仕上げる |
| IaaS | キッチンや道具だけ借りる | 材料や調理方法は自分で考える |
SaaSは、メールサービスや会計ソフトのように、利用者がすぐ使える形で提供されます。
PaaSは、アプリケーションを開発・実行するための環境が用意されています。
IaaSは、仮想サーバ、ストレージ、ネットワークなどの基盤を借りて、その上にOSやソフトウェアを構築していきます。
つまり、SaaSに近いほど利用者の作業は少なくなり、IaaSに近いほど利用者が管理する範囲は広くなります。
定義・仕組み
クラウドサービスは、インターネットを通じて、ソフトウェアやシステム基盤を利用するサービスです。
IPAの解説でも、クラウドのサービス提供形態として、IaaS、PaaS、SaaSが整理されています。
参考: IPA DX SQUARE|クラウドとは?
SaaSとは
SaaSは、Software as a Service の略です。
完成したソフトウェアを、インターネット経由で利用する形態です。
たとえば、次のようなものがSaaSに近いです。
- Webメール
- グループウェア
- オンライン会議ツール
- クラウド型会計ソフト
- 顧客管理システム
利用者は、サーバ構築やOS管理を意識せず、アカウントを作成して利用します。
ただし、SaaSであっても、利用者側の設定、ID管理、アクセス権限、データの扱いは重要です。
PaaSとは
PaaSは、Platform as a Service の略です。
アプリケーションを開発・実行するための環境を、クラウド上で利用する形態です。
PaaSでは、OS、データベース、開発環境、実行環境などが提供されることが多いです。
利用者は、その上で自分たちのアプリケーションを作ったり動かしたりします。
SaaSのように完成品を使うのではなく、アプリケーションを開発・運用するための土台を使うと考えると分かりやすいです。
IaaSとは
IaaSは、Infrastructure as a Service の略です。
サーバ、ストレージ、ネットワークなどのインフラを、クラウド上で利用する形態です。
利用者は、仮想サーバを作成し、その上にOSやミドルウェア、アプリケーションを構築します。
自由度は高いですが、その分、利用者が管理する範囲も広くなります。
SG試験では、IaaSを「クラウド事業者が全部やってくれるサービス」と考えないことが大切です。
IaaSはインフラを借りる形なので、その上で動かすOSやアプリケーションの管理は、利用者側の責任になることが多いです。
どんな場面で使う?
SaaS・PaaS・IaaSは、目的によって使い分けます。
| 使いたい場面 | 適した形態 | 理由 |
|---|---|---|
| すぐに業務アプリを使いたい | SaaS | 完成したソフトウェアを利用できる |
| 自社アプリを開発して動かしたい | PaaS | 開発・実行環境を利用できる |
| 自由にサーバ構成を作りたい | IaaS | インフラを柔軟に構築できる |
たとえば、社内のスケジュール共有やメールをすぐに使いたい場合は、SaaSが向いています。
一方、自社独自のWebアプリを作りたい場合は、PaaSやIaaSが候補になります。
PaaSは、開発環境や実行環境をクラウド事業者に任せやすい形です。
IaaSは、サーバ構成やOS、ミドルウェアを細かく管理したい場合に向いています。
SG試験では、便利さだけでなく、管理責任の範囲にも注目します。
SaaSであっても、利用者のアカウント管理やアクセス権限設定を誤ると、情報漏えいにつながる可能性があります。
よくある誤解・混同
誤解1:SaaSなら利用者は何もしなくてよい
これは誤りです。
SaaSは完成したソフトウェアを使う形なので、サーバやOSの管理は少なくなります。
しかし、次のような管理は利用者側にも残ります。
- 利用者IDの管理
- パスワードや多要素認証の設定
- アクセス権限の設定
- 保存するデータの管理
- 退職者アカウントの削除
SG試験では、SaaSでも利用者側の設定責任は残ると押さえます。
誤解2:IaaSはSaaSより安全である
これは単純には言えません。
IaaSは自由度が高い一方で、利用者が管理する範囲も広くなります。
設定ミス、OSの更新漏れ、不要なポート開放などがあると、セキュリティリスクになります。
安全性は、SaaS・PaaS・IaaSの種類だけで決まるのではなく、責任範囲に応じた管理ができているかで決まります。
誤解3:PaaSとIaaSの違いは分からなくてもよい
SG試験では、PaaSとIaaSの違いも問われることがあります。
判断基準は、開発・実行環境まで用意されているかです。
- OSや開発環境まで用意され、アプリを作って動かすなら PaaS
- サーバやネットワークなどの基盤を借り、自分で環境を作るなら IaaS
| 用語 | 混同しやすいポイント | 判断基準 |
|---|---|---|
| SaaS | PaaSと混同 | 完成したアプリを使う |
| PaaS | IaaSと混同 | アプリ開発・実行環境を使う |
| IaaS | オンプレミスと混同 | インフラをクラウドで借りる |
| オンプレミス | IaaSと混同 | 自社でサーバを持つ |
SG試験では、次のように切り分けます。
- アプリを使うなら SaaS
- アプリを作って動かす土台なら PaaS
- サーバやネットワークを借りるなら IaaS
- 自社でサーバを保有・運用するなら オンプレミス
まとめ(試験直前用)
SaaS・PaaS・IaaSは、クラウド事業者がどこまで提供するかで分かれます。
試験直前は、次の判断基準を押さえておきます。
- SaaSは、完成したソフトウェアを利用する
- PaaSは、アプリ開発・実行環境を利用する
- IaaSは、サーバやネットワークなどのインフラを利用する
- SaaSに近いほど事業者の提供範囲が広く、IaaSに近いほど利用者の管理範囲が広い
- どの形態でも、利用者側のID管理・アクセス権限・データ管理は重要
選択肢では、「何を提供しているか」と「利用者がどこまで管理するか」を見ます。
SaaS・PaaS・IaaSは、略語ではなく、クラウドサービスの提供範囲と責任範囲の違いとして整理すると判断しやすくなります。
🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】