KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

SaaS
英語表記: Software as a Service

この記事をシェア

クラウド上でインターネット経由にてアプリケーションをサービスとして提供するビジネスモデル


従来、アプリケーション(ソフトウェア)はクライアント端末、すなわちユーザー企業管理下のパソコンや社内設置のサーバーなどにインストールして利用することが前提となっていた。その利用において求められる、サーバーやソフトウェアなどを自社で所有、保守を行う方法は「オンプレミス」と呼ばれる。

SaaSでは、アプリケーションはクラウド上に設置され、ユーザーはインターネット経由でそのアプリケーションのURLにアクセスして利用する。アプリケーション上のデータはクラウドサーバー上で処理されるため、インターネットに接続されているパソコンやスマートフォン(以下、スマホ)への負荷は大きくない。アプリケーションの動作・処理のために必要なサーバー、データベース、そしてCPUやストレージに至るまで、包括的に提供する点がSaaSの大きな特徴だ。

SaaS、IaaS、PaaSの違い

クラウドサービスでアプリケーションのレイヤーまで提供するサービスがSaaSであるが、プラットフォームまでに限定して提供するのがPaaS、さらにその下のレイヤーのインフラストラクチャーまでに提供範囲を限定しているものをIaaSと呼ぶ。

すなわち、 仮想化されたアプリケーションサーバーやデータベースなどを実行するプラットフォーム機能の提供を行うのがPaaS、また、サーバーやストレージといったハードウェアリソースのみを提供するのがIaaSと言える。

図1: SaaSとIaaS、PaaSとの違い

図1: SaaSとIaaS、PaaSとの違い

SaaSの特長

SaaSでは、CPUやストレージなどの機器や装置にとどまらず、ユーザー企業はサーバーなども用意する必要がない。また、利用するアプリケーションもインストールされており、アカウント作成が完了すれば、すぐに利用できることが特長の1つだ。初期段階でのデプロイや保守・管理などの工数も不要なため、ITスキルに長けたエンジニアが社内に不在であっても、ERPやCRMといった高度なエンタープライズアプリケーションを手軽に、初期費用も抑制して導入することが可能だ。

また、拡張性が高い点も利用するメリットと言える。利用するユーザー数、データベース、ストレージの規模などもユーザーが柔軟に設定画面上から容易に対応できる。ビジネスや自社の状況に応じた調整が可能なため、ビジネスがダイナミックに変化していく現代のニーズに合致しているサービスである。

なお、SaaSの費用は、一般的にソフトウェアの買い切りではなく、初期費用に加えて利用期間に応じた月額費用が課金される。また、利用するユーザー数によって月額費用が変動するサービスが多い。こうした点は、買い切りであった従来型のアプリケーションソフトウエアとは大きく異なる。

SaaSを使うセキュリティ上のメリット

SaaSの利用は、アプリケーションをオンプレミスサーバーにインストールした場合と比較すると、セキュリティの面で以下のようなメリットがある。

ユーザー企業の責任範囲が狭くなる

SaaSはオンプレミスと比較して、セキュリティに関するユーザー企業側の責任範囲が広くない。サービス提供側に委ねている範囲が大きいためであり、ユーザー企業が対応すべきセキュリティ対策の範囲はその分狭まる。

セキュリティインシデントへの対応や対策を委託できる

アプリケーションを利用する際のセキュリティリスクとして、アプリケーションへの不正アクセスマルウェア感染などが挙げられるが、オンプレミスでは、そうしたリスクへの対策・対応を講じる必要がある。しかし、SaaSではこの範囲はサービス提供者の責任範囲となる。サービスを利用するユーザー企業からみると、アプリケーションの不正アクセス対策は自らの責任範囲外であり、これらはサービス提供側が対応、対策を講じることになる。

ただし、こうしたサービスを利用において、仮に情報漏えい事件などが生じた場合、サービスを利用するユーザー企業は法的責任を問われない場合でも、エンドユーザーがいる場合、社会的信用を損なう恐れは否定できない。また、こうした責任の所在についてエンドユーザーは知るすべもないため、場合によっては責任を問われる恐れもある。そのため、SaaSを選定する際には、提供事業者のセキュリティポリシーなどを確認して、適切な対策が講じられているかを確認しておく必要があるだろう。

脆弱性の診断・セキュリティ対策の更新が不要

先述のとおり、SaaSでは、サービスが動いているプラットフォームやインフラの運用・保守も事業者側の分担だ。しかし、OSもアプリケーションも日々、新しい攻撃手法や脆弱性が発覚しているため、こうした攻撃者の動向を適切に把握し、対策を講じることが求められる。SaaSでは、OS・アプリメーカーによるアップデートは、定期的なもの、緊急なものを問わず、提供事業者が対応する。ユーザー企業は基本的に、この部分について考慮する必要はない。

ただし、SaaSも万全ではない。昨今、頻繁に生じているのはアプリケーションの設定を適切に行わなかったことによる情報漏えいなどだ。このような場合、エンドユーザーからそうした不手際を問われかねない。また、海外製品などでは、ある日突然、セキュリティに関するポリシーが大きく変更されるとも限らない。頻繁に生じることではないが、そうした事情も踏まえ、自社の提供するサービスの性質に応じて、利用の可否を判断するという観点も重要だろう。

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!