SaaSは、ITパスポート・基本情報技術者・応用情報技術者のすべてで繰り返し出題される超頻出キーワードです。PaaS・IaaSとの違いを正確に区別できるかが得点の分かれ目になります。

目次 [ close ]
  1. 対象試験と出題頻度
  2. SaaSの定義
  3. 解説
    1. SaaS・PaaS・IaaSの管理範囲の違い
    2. 図解:SaaS・PaaS・IaaSの管理範囲
    3. SaaSの具体例
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック
  6. よくある質問(FAQ)

対象試験と出題頻度

SaaSは、ITパスポート・基本情報技術者・応用情報技術者で出題されるテーマです。

NISTのクラウド定義に基づくサービスモデルの分類問題として定番化しており、「PaaS」「IaaS」との管理範囲の違いを正確に答えられるかが問われます。

詳細をクリックして確認
対象試験:
ITパスポート
基本情報技術者
応用情報技術者
出題頻度:
★★★★★
ランクS(超重要)絶対に覚える必要あり

SaaSの定義

情報処理試験を勉強していると、「SaaS・PaaS・IaaSって何が違うの?」と混乱しがちです。

SaaS(Software as a Service/サース)とは、一言で言うと

 「ソフトウェアの機能をインターネット経由で利用者に提供するクラウドサービスの形態

のことです。

イメージとしては、水道の蛇口です。

浄水場の建設や水道管の敷設はすべて水道局が担当し、利用者は蛇口をひねるだけで水を使えます。

SaaSも同じで、サーバの構築・OSの管理・ソフトウェアの保守はすべて事業者側が行い、利用者はブラウザを開くだけでアプリケーションを使えます。

📊 SaaSの基本情報

項目 内容
正式名称 Software as a Service
読み方 サース
分類 クラウドコンピューティングのサービスモデル
定義元 NIST SP 800-145「クラウドコンピューティングの定義」
代表例 Gmail、Microsoft 365、Salesforce、Zoom

解説

従来、企業が業務システムを使うには、自社でサーバを購入し、OSをインストールし、アプリケーションを開発・導入する必要がありました。これはオンプレミス(自社運用)と呼ばれる形態です。

しかしオンプレミスには、初期投資の大きさ、運用負荷、拡張の難しさという課題があります。そこで登場したのが、必要な機能だけをインターネット経由で「サービスとして」使う仕組みです。

SaaS・PaaS・IaaSの管理範囲の違い

NIST(米国国立標準技術研究所)のSP 800-145では、クラウドのサービスモデルをSaaS・PaaS・IaaSの3つに分類しています。

3つの違いは「利用者がどこまで管理するか」で整理できます。(資格試験対策で必需です)

📊 管理範囲の比較(■=事業者が管理 □=利用者が管理)

レイヤー SaaS PaaS IaaS オンプレミス
アプリケーション ■ 事業者 □ 利用者 □ 利用者 □ 利用者
ミドルウェア ■ 事業者 ■ 事業者 □ 利用者 □ 利用者
OS ■ 事業者 ■ 事業者 □ 利用者 □ 利用者
サーバ・ストレージ ■ 事業者 ■ 事業者 ■ 事業者 □ 利用者
ネットワーク ■ 事業者 ■ 事業者 ■ 事業者 □ 利用者

図解:SaaS・PaaS・IaaSの管理範囲

上の表をビジュアルで整理すると、利用者の管理範囲がSaaSで最も小さく、IaaSで最も大きいことが一目でわかります。

SaaS・PaaS・IaaS 管理範囲の積み上げ図

SaaS

アプリケーション
■ 事業者
ミドルウェア
■ 事業者
OS
■ 事業者
サーバ
■ 事業者
ネットワーク
■ 事業者

利用者は使うだけ

PaaS

アプリケーション
□ 利用者
ミドルウェア
■ 事業者
OS
■ 事業者
サーバ
■ 事業者
ネットワーク
■ 事業者

アプリだけ自分で開発

IaaS

アプリケーション
□ 利用者
ミドルウェア
□ 利用者
OS
□ 利用者
サーバ
■ 事業者
ネットワーク
■ 事業者

OS以上は自分で管理

▲ 左から右に向かって利用者の管理範囲が広がる

SaaSの具体例

身近なサービスで当てはめると、3つのモデルの違いが掴みやすくなります。

モデル 提供内容 代表的なサービス例
SaaS 完成済みのアプリケーション Gmail、Microsoft 365、Salesforce、Zoom
PaaS アプリを動かす開発基盤 Google App Engine、Heroku、AWS Elastic Beanstalk
IaaS 仮想サーバ・ストレージ等のインフラ Amazon EC2、Google Compute Engine、Azure Virtual Machines

では、この用語が試験でどのように出題されるか見ていきましょう。

💡 SaaSの核心を3行で

・ソフトウェアの機能をインターネット経由で利用するクラウドサービスモデル
・利用者はアプリを「使うだけ」で、サーバ・OS・ミドルウェアの管理は一切不要
・PaaSは開発基盤まで、IaaSはインフラまでの提供であり、管理範囲の広さで区別する

試験ではこう出る!

SaaS関連の問題は、IP・FE・APのいずれでも午前で繰り返し出題されています。出題パターンは大きく2つに分かれます。

📊 過去問での出題実績

試験回 出題内容 問われたポイント
IP H29秋
問11		 SaaSの説明として最も適切なものを選ぶ問題。 ・「アプリケーションの必要な機能をネットワーク経由で提供」が正解
・IaaS・PaaS・ISPの説明がひっかけ
FE H24秋
問63		 SaaSを説明したものはどれかを選ぶ問題。 ・ERP、BPR、SLAの説明がひっかけ
・AP H22春 問63と同一問題
AP H28春
午前 問42		 IaaSでは実施できるがPaaS・SaaSでは実施できない管理作業を選ぶ問題。 ・「ゲストOSに係るセキュリティの設定」が正解
・NIST定義に基づく管理範囲の理解が必須
AP H30秋
午前 問38		 IaaSのサービスでゲストOSのパッチ管理の責任が利用者にあることを問う問題。 ・3モデルの責任分界点の理解が必要

📝 IPA試験での出題パターン

パターン1:「SaaSの説明を選べ」
SaaS・PaaS・IaaSの説明文が並び、SaaSに該当するものを選ぶ形式。ひっかけとして「ハードウェア機能を提供」(IaaS)、「開発基盤を提供」(PaaS)の説明が紛れ込む。キーワードは「アプリケーション」「ネットワーク経由で利用」。

 

パターン2:「管理範囲・責任範囲を問う」
AP H28春のように、3モデルで利用者ができる管理作業の違いを問う形式。ここだけは確実に押さえてください。「OSのセキュリティ設定はIaaSのみ利用者が実施できる」「ハイパーバイザは全モデルで事業者管理」の2点さえ覚えれば得点できます。

 

試験ではここまででOKです。各モデルの内部アーキテクチャまでは問われないため、深追いは不要です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. クラウドのサービスモデルにおいて、SaaSの説明として最も適切なものはどれでしょうか?

  • A. 仮想サーバやストレージなどのインフラストラクチャをネットワーク経由で提供し、利用者がOSやミドルウェアを自由に構成できる。
  • B. アプリケーションの開発・実行に必要なプラットフォームをネットワーク経由で提供し、利用者は自作のアプリを実装・稼働させることができる。
  • C. アプリケーションソフトウェアの機能を、必要なときに必要なだけネットワーク経由で利用者に提供する。

正解と解説を見る

正解:C

解説:
SaaSは、事業者が運用するソフトウェアの機能をインターネット経由で提供するクラウドサービスの形態です。利用者はブラウザ等からアプリケーションを利用するだけで、インフラやOSの管理は不要です。

選択肢AはIaaS(Infrastructure as a Service)の説明です。IaaSではサーバやストレージなどのインフラを提供し、OS以上は利用者が自由に管理します。選択肢BはPaaS(Platform as a Service)の説明です。PaaSでは開発基盤を提供し、利用者はアプリケーションの開発・実装に専念できますが、完成済みソフトウェアの提供ではありません。

よくある質問(FAQ)

Q. SaaSとASP(Application Service Provider)は同じものですか?

概念としては非常に近いですが、厳密には異なります。ASPは「インターネット経由でアプリケーションを提供する事業者」を指す言葉で、SaaSは「インターネット経由で提供されるソフトウェアの利用形態」を指します。つまりASPは提供する側の名称、SaaSは提供される仕組みの名称です。IPA試験ではFE H21秋 問63でASPが出題されており、SaaSとの関係を問う可能性があります。

Q. SaaSを利用する場合、セキュリティの責任は全て事業者にありますか?

全てではありません。インフラやOS、アプリケーション本体の管理は事業者の責任ですが、アカウントのID管理やアクセス権設定、データの取り扱いポリシーなどは利用者側の責任です。AP H28春 問42の解説でも「アプリケーションの利用者ID管理は全モデルで利用者が実施可能」と明記されています。

Q. 「DaaS」「XaaS」とSaaSはどう関係しますか?

DaaS(Desktop as a Service)は、VDIのデスクトップ環境をクラウドで提供するモデルです。XaaS(Everything as a Service)は、SaaS・PaaS・IaaSを含むあらゆる「as a Service」型提供形態の総称です。IPA試験の範囲ではSaaS・PaaS・IaaSの3分類を押さえておけば十分であり、DaaSやXaaSが直接問われることは現時点ではありません。

Q. 実務でSaaSを導入する際に注意すべき点はありますか?

大きく3つあります。第一に、データの保管場所(海外リージョンの場合は個人情報保護法との関係)。第二に、サービス停止時の業務影響(SLAの確認が必須)。第三に、他サービスへの移行のしやすさ(ベンダーロックインの回避)です。特に社内で無断導入されるシャドーITの問題はCASBによるクラウド利用の監視で対策します。