PaaSとは、「Platform as a Service」の略称であり、ハードウェアやネットワークなどのインフラ部分に加えて、OSやサーバーアプリケーションをプラットフォームとして提供するサービスのことだ。この中には、データベースエンジン、開発に使われた言語のランタイムなども含まれる。PaaSを利用することで、システムコール・APIやデータベース機能、オブジェクトストレージなどのプラットフォーム側で用意された環境にアプリケーションをインストールすることで、即座に実行できるのだ。

PaaSではそのほかにも、開発ツールを利用してのアプリケーションの開発、データベースの管理なども可能となる。サービスの利用契約後、開発環境・実行環境を速やかに準備できるだけでなく、利用に応じた課金体系のサービスが多いため、Web上でのサービスやシステムの提供などと親和性が高い。

従来、こうした開発環境の構築には機器類の購入、設置、保守管理といったコストが生じ、時間も要した。例えば、開発環境を構築するには、必要なスペックを有するサーバーを構築し、ネットワーク回線を確立、OSやミドルウェア、データベース関連のアプリケーションなどをインストールするなど、設定にも時間や工数を要する。しかし、PaaSではこうしたコストや時間を大きく削減できることが最大の特長と言えるだろう。

PaaSを使うセキュリティ上のメリット

PaaSの利用時には、アプリケーションをオンプレミスサーバーにインストールした場合と比較すると、セキュリティの面では以下のようなメリットとデメリットを考慮する必要がある。

利用企業の責任範囲が狭くなる

オンプレミスとしてプラットフォームを用意する場合と比較すると、PaaSを利用する場合、セキュリティに関して利用企業の責任範囲は狭まる。これはPaaSの提供元に委ねている範囲が大きいためであり、利用企業が対応すべきセキュリティ対策の範囲はその分狭くなるのだ。

セキュリティ対策の更新が不要

OSやミドルウェアのセキュリティアップデート対応はPaaS提供元の事業者に一任することになる。オンプレミスの場合、こうしたリスクへの対策、対応は自らの責任で行う必要があるが、PaaSでは事業者がOSやミドルウェアにセキュリティアップデートを適用していくことになる。

しかし、PaaSを利用する場合でも、自らで開発したアプリケーションやデータベースについては利用企業の責任が生じる。例えば、アプリケーションの脆弱性が原因で不正ログインが生じ、エンドユーザー側に被害が発生した場合、その責任は当然ながらアプリケーションを開発・提供した企業側が負うことになる。このような場合、PaaS提供元で不正検知サービスが提供されていない限り、不正ログインが検知されることもないため、利用時には注意が必要だ。

PaaSとIaaS、SaaSとの違い

PaaS、IaaS、SaaSともに、インターネット上のクラウドコンピューターを用いるサービスという点で共通項がある。このうち、クラウドサービスで事業者がアプリケーションレイヤーまで提供するサービスがSaaSだ。プラットフォームまでに限定して提供するのがPaaS、さらにその下のレイヤーであるインフラストラクチャーまでに限定して提供範囲としているものをIaaSと呼ぶ。

図1：IaaSとPaaS、SaaSの管理領域の違い

PaaSでは先述のように、プラットフォームとして提供されるサービスは、OSやサーバーアプリケーション、ネットワーク、ハードウェア、設置環境などまでとなる。IaaSの場合、OSやサーバーアプリケーションは提供外となるため、自社で準備する必要がある。仮想ネットワークの設定、OS、ミドルウェアのインストールなど、サーバーをゼロから構築するのに等しい。すなわち、ゼロベースで柔軟な構成を構築することができるが、現実問題として環境構築までに時間や工数を要することになる。

PaaSを利用する方が、開発者にとってはアプリケーションの開発に集中できることから、開発工数の削減にも寄与し、結果的にサービスのリリース時期も短期化が見込める。

PaaSとIaaSの提供元として、マイクロソフト社、アマゾン社、グーグル社などが代表的な存在だ。Webサービス、システムを提供する事業者にとって、より利便性の高いサービスを利用に応じた課金体系で提供することで、手軽に利用可能にしたサービスがPaaSとも言えるだろう。

実際、PaaSでは高速なデータ処理、3Dゲームのエンジン、AR/VRアプリケーションの基盤、機械学習など、先進的な機能が手軽に利用できるような環境が提供されている。これらのどれか1つだけでもミドルウェア、ライブラリを自前で開発しようとすれば、それ相応の労力・工数がかかってしまう。

なお、SaaSの事業者はPaaS、IaaSを利用してサービスを提供していることが少なくない。特に、先述のようにPaaSを利用することで、アプリケーションの開発・運営に注力できるため、利用メリットが大きいのだ。SaaSをエンドユーザーとして利用する際は、事業者が利用しているPaaS、あるいはIaaSの安定性や稼働率に依存する可能性もあるため、それらも考慮しておくとよいだろう。