クラウドコンピューティングのSaaSとPaaSとIaaSでできることの違い

情報処理安全確保支援士

前回の勉強内容

ponsuke-tarou.hatenablog.com

きっかけとなった試験問題

NISTの定義によるクラウドコンピューティングのサービスモデルにおいて,パブリッククラウドサービスの利用企業のシステム管理者が,仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち,適切なものはどれか。

https://www.sc-siken.com/kakomon/29_haru/img/08.gif
情報セキュリティスペシャリスト平成29年春期 午前Ⅱ 問8

NISTは、クラウドコンピューティングの定義だけでなく、暗号技術の策定やインターネット時刻を提供するタイムサーバーの管理をしたりしています。

  • 正式 : National Institute of Standards and Technology
  • 日本語 : アメリカ国立標準技術研究所

NIST(アメリカ国立標準技術研究所)は、アメリカの技術革新や産業競争力を強化するために、経済保障を強化して生活の質を高めるように計測学、規格、産業技術を促進することを目的とする機関です。
平成31年春期問80 RFCとして策定している組織|基本情報技術者試験.com

クラウドコンピューティングは、インターネット経由でコンピュータやデータベースやストレージ・アプリケーションなどが使えるサービスのことです。

クラウドクラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。
クラウドとは?わかりやすく解説|AWS

SaaSは、アプリケーションソフトウェアの機能を,必要なときだけ利用者に提供するサービスのことです。

  • 正式 : Software as a Service

ユーザは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、各アプリケーション機能ですら、管理したりコントロールしたりすることはない。
情報セキュリティスペシャリスト平成29年春期 午前Ⅱ 問8

専門の事業者が運用するサービスをネットワーク(インターネット)経由で利用する形態です。自分の組織でシステムを構築し、保守・運用する場合と比べて、時間と費用の大幅な節約が可能です。
平成24年秋期問63 SaaSを説明したものはどれか|基本情報技術者試験.com

システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要となります。

利用者側は、サービス提供事業者の構築したシステムの機能を利用することになります。したがってファイアウォールの設定や不正アクセスの管理、ソフトウェアアップデート、およびセキュリティパッチの適用などのシステム自体のセキュリティ管理から解放される利点があります。
平成28年春期問41 SaaSを利用時のセキュリティ管理|基本情報技術者試験.com

被監査企業がSaaSをサービス利用契約して業務を実施している場合、被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できるのはアプリケーションの利用者IDとなります。

SaaSでは、OSやハードウェア、DBMSなどのミドルウェアを直接操作することはありません。サービスの利用者は、付与された利用者IDを使用してSaaS提供業者のWebアプリケーションにアクセスし、サービスを使用するだけです。
情報セキュリティスペシャリスト平成25年秋期 午前Ⅱ 問25

PaaSでは、OSやネットワークなどのプラットフォームが提供されるのでアプリケーション開発がすぐできるようになります。

  • 正式 : Platform as a Service

ユーザは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、管理したりコントロールしたりすることはない。
情報セキュリティスペシャリスト平成29年春期 午前Ⅱ 問8

プロバイダとカスタマがそれぞれおう責務

カスタマの責任者
  1. アプリケーションに対して、データのアクセス制御と暗号化を行う。
  2. アプリケーションに対して、セキュアプログラミングを脆弱性診断を行う。
クラウドサービスプロバイダ
  1. DBMSに対して、修正プログラムの適用と権限設定を行う。
  2. OSに対して、修正プログラム適用と権限設定を行う。
  3. ハードウェアに対して、アクセス制御と物理セキュリティ確保を行う。

PaaSを利用すると,プラットフォームの管理やOSのアップデートは,サービスを提供するプロバイダが行うので,導入や運用の負担を軽減することができます。

サービス提供事業者は開発環境などのミドルウェア以下を提供する。利用者は用意したアプリケーションをミドルウェア上で稼働させる。ミドルウェアにおける設定(カスタマイズ)が可能。
平成29年秋期問14 クラウドサービスのメリット|基本情報技術者試験.com

IaaSは、サーバや回線などの基盤部分から自由に設定できます。

  • 正式 : Infrastructure as a Service

仮想サーバのゲストOSに係るセキュリティの設定までできます。

ユーザは基盤にあるインフラストラクチャを管理したりコントロールしたりすることはないが、オペレーティングシステム、ストレージ、実装されたアプリケーションに対するコントロール権を持ち、場合によっては特定のネットワークコンポーネント機器(例えばホストファイアウォール)についての限定的なコントロール権を持つ。
平成28年春期問42 IaaSでは実施できるものはどれか|応用情報技術者試験.com

インフラストラクチャは、ガスや電気みたいな基盤となる設備や要素のことです。

インフラのことです。
e-words.jp

まとめ

https://static-blog.crozdesk.com/wp-content/uploads/2017/07/28105621/accounting-logos1.png
Tapping into SaaS, PaaS and IaaS - An Introduction to Cloud

https://blogs.bmc.com/wp-content/uploads/2017/09/saas-vs-paas-vs-iaas-810x754.png
SaaS vs PaaS vs IaaS: What’s The Difference and How To Choose – BMC Blogs

https://www.sc-siken.com/kakomon/30_aki/img/10_2.gif
情報処理安全確保支援士平成30年秋期 午前Ⅱ 問10

f:id:ponsuke_tarou:20190906000322p:plain
管理と運用に関する比較
平成24年度春期情報セキュリティスペシャリスト試験(SC)平成24年度春期午後Ⅱ問題
平成24年度春期情報セキュリティスペシャリスト試験(SC)平成24年度春期午後Ⅱ回答

f:id:ponsuke_tarou:20190905233721j:plain
ザ・フレンチトーストファクトリーのチーズが乗ったフレンチトースト

次回の勉強内容

ponsuke-tarou.hatenablog.com