SaaS（サービスとしてのソフトウェア）

サービスとしてのソフトウェア（SaaS）は、サービスプロバイダーがアプリケーションをホストし、インターネット経由で顧客が利用できるようするソフトウェアのライセンスおよび配布モデルです。SaaSは「オンデマンドソフトウェア」、「ホスト型ソフトウェア」、「Webベースのソフトウェア」とも呼ばれ、デジタルトランスフォーメーションの基本要素のひとつである、クラウドコンピューティングの3つの主要コンポーネントのひとつです。その他のクラウドコンピューティングのコンポーネントとして、IaaS（サービスとしてのインフラストラクチャ）とPaaS（サービスとしてのプラットフォーム）があります。

ほとんどのSaaSサービスがマルチテナントアーキテクチャに基づいています。つまり、単一バージョンのアプリケーションがすべてのユーザーに提供されます。最適な機能およびルックアンドフィールを構成および設定したり、ソフトウェアコンポーネントをカスタマイズしたり、ユーザーのお客様が特定のユースケースに対応してアップグレードを通じて維持することができます。ただし、ユーザーはSaaSアプリケーションの共通の基盤となるインフラストラクチャとコードを変更することはできません。

SaaSの例

SaaSの主な2つのタイプとして、垂直展開型と水平展開型があります。

• 垂直展開型。ヘルスケア向けの電子カルテ（EMR）ソフトウェアや金融業や保険会社向けの財務管理ソフトウェアなど、特定の業界のニーズに対応します。
• 水平展開型SaaS。メールやコラボレーションソフトウェア、人事管理（HRM）ソフトウェア、顧客関係管理（CRM）ソフトウェア、エンタープライズリソースプランニング（ERP）ソフトウェア、サイバーセキュリティソフトウェアなど、あらゆる業界のニーズに対応します。

SaaSのベネフィット

• コスト節減。SaaSモデルは従量課金制であり、ライセンス料やインストールに伴う費用などが不要のため、初期導入コストを最小限に抑えることができます。小規模な投資でサブスクリプションプランを開始して、必要に応じてユーザー数を増やしてユースケースを拡張できます。
• 使いやすさ。SaaSアプリケーションは、ユーザーがインストールおよびメンテナンスする必要がなく、一般的なデバイスでどこからでもWebブラウザやシンクライアント端末を通じてアクセスできます。SaaSプロバイダーは、クラウドの可用性、パフォーマンス、継続的なメンテナンス、アップデート、パッチ、セキュリティを管理します。
• 運用効率。アプリケーションはクラウドでホストされるため、社内チームがインフラストラクチャ管理に関連するタスクに時間をかける必要がなくなり、ビジネスのコアコンピテンシーに専念できます。また、SaaSでは、ユーザー組織がコンピューティングやストレージを負担する必要がほとんどないため、リソースを節約できます。
• SaaSサービスは容易に拡大/縮小でき、また必要に応じて追加機能を利用できます。これは、需要にばらつきのある組織、急速な成長を遂げている組織、および需要や予算に応じて規模を拡大/縮小する必要がある組織にメリットをもたらします。
• 統合が容易。SaaSサービスの普及とAPI技術の標準化により、複数のサービスからのデータ、プレゼンテーション、機能を組み合わせた統合や「マッシュアップ」が急増しています。これにより、進化する顧客ニーズに対応する、クラウドセキュリティにとって最適なサービスが提供されています。

SaaSセキュリティの課題

1,000社を超えるグローバル組織を対象とした、2019 Cyber​Ark調査を通じて、組織がクラウドへ移行する最大の理由がセキュリティ問題であることが明らかになりました。さらに、情報セキュリティに関するリスク全体または一部をクラウドベンダーが負担するべきという回答が3分の1以上に上りました。

SaaSプロバイダーは、クラウドインフラストラクチャのセキュリティに重点を置く一方で、部分的なセキュリティソリューションを提供して、セキュリティコラボレーションを推奨することしかできないことを公に認めています。たとえば、Microsoft社は、クラウドプロバイダーとクラウド顧客の間でセキュリティタスクを分割する共有責任モデルを推奨しています。Microsoft社は、導入するクラウドのタイプに関係なく、データ、ID、オンプレミスのリソース、およびクラウドで制御されるコンポーネントのセキュリティは、お客様が常に保護する責任があると述べています。

米国国家安全保障局もクラウドのセキュリティ責任の共有に関するガイダンスを提示しています。

米国国家安全保障局は、2020年1月の指令で、「クラウドサービスプロバイダー（CSP）は、クラウドインフラストラクチャのセキュリティ保護と顧客データを分離する論理的な制御を実装する責任があり、組織の管理者は通常、アプリケーションレベルのセキュリティ（データ承認のためのアクセス制御など）を構成する責任がある。クラウド・サービス・プロバイダーの多くがクラウドセキュリティ構成ツールと監視システムを提供しているが、組織のセキュリティ要件に従ってサービスを構成する責任はクラウドの顧客にある」と指摘しています。

データ侵害が発生した場合、クラウドベンダーではなく、ユーザーの組織が説明責任を負い、規制当局、顧客、その他の関係者に対応する必要があります。したがって、組織はこの責任分担を調査および理解して、SaaSアプリケーションやその他のクラウド環境に格納されている機密データや情報への特権アクセスを保護するための措置を講じる必要があります。

SaaSの詳細

• クラウドソリューションのためのCyberArk Privileged Access
• 組織のクラウドワークロードを保護するための6つの主なユースケース
• CyberArkの概要：クラウドで運用されている資産を保護するにあたっての課題
• NSAはクラウドセキュリティの向上に関するガイダンスを提示しています