SaaS・PaaS・IaaSの違い|3層モデルとASPの位置づけを図解
Check!
- SaaS・PaaS・IaaSはNIST定義による「提供範囲」での3区分
- 違いの本質は「責任分界」=どこまでベンダーが管理するか
- ASPはシングルテナント型、SaaSはマルチテナント型で別物
クラウドサービスを検討する際に最初にぶつかるのが「SaaS・PaaS・IaaSは何が違うのか」「ASPとSaaSはどう使い分ければよいのか」という壁です。総務省の「令和6年通信利用動向調査」(2025年5月30日公表)によると、クラウドサービスを利用する企業の割合はすでに8割を超え、効果があったと回答した企業も88.2%に達しており、もはや導入の是非ではなく「どの層を選ぶか」が問われる段階に入っています。本記事では、米国国立標準技術研究所(NIST)が定めた世界共通の定義をもとに、SaaS・PaaS・IaaSの3層モデルと、その手前に位置するASPとの違いを、責任分界・提供範囲・選び方の観点から図解で整理します。個人事業主・中小企業・中堅大企業のいずれの読者にも、自社の状況に当てはめて読み進められるよう、規模ニュートラルな視点で記述しています。
おすすめ記事
目次
開く
閉じる
開く
閉じる
SaaS・PaaS・IaaSの違いを一言で(結論先出し)
SaaS・PaaS・IaaSはクラウドサービスを「どこまで提供するか」で分けた3つの区分で、SaaSはソフトウェア、PaaSは開発・実行基盤、IaaSはサーバー等のインフラを、それぞれインターネット経由で提供する形態です。この3区分は米国国立標準技術研究所(NIST)が2011年に公表した「The NIST Definition of Cloud Computing(SP 800-145)」(Peter Mell・Tim Grance/2011年9月)で定義され、現在もクラウドサービスの世界標準として更新なく利用されています。
NIST SP 800-145では、クラウドコンピューティングを「5つの必須特性・3つのサービスモデル・4つの配置モデル」で定義しています。3つのサービスモデルがまさにSaaS(Software as a Service)・PaaS(Platform as a Service)・IaaS(Infrastructure as a Service)の3区分で、利用者から見て「下から積み上がる」階層構造になっています。下の層ほど自由度が高く専門知識を要し、上の層ほど即利用できる完成品に近づきます。
| 区分 | 提供範囲 | 典型例(カテゴリ) | 主な利用者像 |
|---|---|---|---|
| SaaS | 完成したアプリケーション | 会計/人事/CRM/コラボツール等 | 業務担当者・経営者 |
| PaaS | 開発・実行プラットフォーム | アプリ開発基盤/データベース等 | 開発者・情報システム部門 |
| IaaS | サーバー・ストレージ等の基盤 | 仮想サーバー/ストレージ等 | インフラ管理者・情報システム部門 |
3層モデルの責任分界|どこまでベンダーが管理するか
クラウドの3層は「ハードウェアからアプリケーションまでの管理範囲をベンダーがどこまで担うか」で分かれ、IaaSは少なめ、PaaSは中間、SaaSはほぼ全層をベンダーが担当します。これを「責任共有モデル(責任分界)」と呼び、契約時にどの層が自社責任で、どの層がベンダー責任かを正確に把握することが、セキュリティと運用設計の出発点になります。
図2のとおり、IaaSではOS以上を利用者が管理するため、サーバー構築やセキュリティパッチ適用などのIT運用スキルが必要になります。PaaSではアプリケーションとデータのみを利用者が管理し、それより下の層はベンダーが面倒を見るため、開発者は本来の開発業務に集中できます。SaaSは設定変更を除いてほぼすべての層をベンダーが管理するため、業務担当者がIT専門知識なしに利用を開始できる一方、自社固有の機能追加や深いカスタマイズは困難です。
総務省「ASP・SaaSの安全・信頼性に係る情報開示指針(第3版)」(2026年5月時点で最新版)では、SaaS事業者が利用者に対して開示すべき項目として、サービスレベル・障害対応・データ保管場所・バックアップ・障害時の責任分担などが定められています。契約前に開示状況を確認することで、責任分界が曖昧な事業者を回避できます。
ASPとSaaSの違い|シングルテナントとマルチテナント
ASPは1顧客につき1環境を提供する「シングルテナント型」、SaaSは複数顧客で同一環境を共有する「マルチテナント型」で、コスト構造と機能更新の仕組みが大きく異なります。ASP(Application Service Provider)はインターネット経由でアプリケーションを提供する仕組みの総称で、1990年代後半に登場した概念です。SaaSはこのASPを進化させた形態と位置づけられ、両者は連続的に発展してきました。
ASPの「シングルテナント型」では、顧客ごとに専用環境を構築するため業務に合わせたカスタマイズがしやすい一方、サーバー資源を顧客の数だけ用意する必要があり、月額利用料も比較的高くなります。機能更新も契約単位で個別に行われるため、自社のタイミングを選びやすい代わりに、ベンダー側の維持コストが利用料に反映されます。
これに対しSaaSの「マルチテナント型」は、1つのアプリケーション環境を複数の顧客が共有し、データだけを論理的に分離する構造です。1つの環境を多数で割り勘するため利用料が抑えられ、機能更新も全顧客に一斉適用されるため、常に最新機能を使えるメリットがあります。一方で、自社固有の深いカスタマイズは難しく、業務側を「標準機能の範囲」に合わせる発想が前提になります。
どれを選ぶべきか|規模・目的別の判断ポイント
個人事業主はSaaS中心、中小企業は業務領域別にSaaSを組み合わせ、中堅・大企業はガバナンス観点でPaaS・IaaSの組み合わせも検討するのが基本です。どの規模でも、選定時には総務省の「クラウドサービスの安全・信頼性に係る情報開示指針」に基づく開示状況や、政府調達基準であるISMAP(政府情報システムのためのセキュリティ評価制度)への登録有無を確認することが推奨されます。
個人事業主の場合、業務範囲が限定されているため、会計・請求書・CRMなど目的別のSaaSを1〜2本組み合わせれば完結します。PaaSやIaaSを直接利用する場面は基本的にありません。重要なのは、解約時にデータをエクスポートできるか、サービス停止時の代替手段があるかという継続性の確認です。
中小企業では、会計・人事・営業・コミュニケーションなど業務領域ごとにSaaSを使い分けるケースが一般的です。複数SaaS間のデータ連携をAPIで設計し、退職時の権限剥奪手順を整備するなど、組織としての運用ルールが重要になります。特殊業務(独自の見積もり計算など)が標準SaaSで賄えない場合、PaaSでの内製開発も選択肢に入ります。
中堅・大企業では、全社ガバナンスと監査要件が前提になるため、3層を組み合わせた設計が現実的です。汎用業務はSaaS、自社固有のシステムはPaaSで内製、基幹システムや高い統制要件のあるものはIaaSや自社運用を組み合わせます。政府・自治体への提案や金融業など規制業種では、ISMAP登録サービスを優先的に選定する運用が広がっています。
SaaS・PaaS・IaaS・ASPに関するよくある質問(FAQ)
Q. SaaS・PaaS・IaaSの読み方は?
A. SaaSは「サース」または「サーズ」、PaaSは「パース」、IaaSは「イアース」または「アイアース」と読みます。いずれも英語の頭字語で、SaaSはSoftware as a Service、PaaSはPlatform as a Service、IaaSはInfrastructure as a Serviceの略です。NIST SP 800-145ではこの3つの読み方は規定されていませんが、業界では複数の発音が並行して使われています。
Q. SaaSの覚え方を教えてください
A. 「下から積み上がる」ことを意識すると覚えやすくなります。土台にあるのがIaaS(インフラ)、その上にPaaS(プラットフォーム=開発基盤)、一番上がSaaS(ソフトウェア=完成品)です。「IPS(=I → P → S)の順に提供範囲が広がる」と覚えると、後述の責任分界も自然に理解できます。「3層モデルの責任分界|どこまでベンダーが管理するか」も合わせて確認してください。
Q. ASPは古い言葉で、SaaSに置き換えてよいですか?
A. 概念としては連続的に発展した関係にありますが、現在も「ASP」「SaaS」を区別して使う場面があります。総務省の情報開示指針は「ASP・SaaS」と並列表記しており、両者を包含した制度として運用されています。実務上は、契約形態がシングルテナント型かマルチテナント型か、機能更新の仕組みが個別適用か全顧客一斉適用かを確認して、自社のニーズに合う方を選びます。
Q. SaaSとクラウド一般は何が違いますか?
A. 「クラウド」はインターネット経由でITリソースを利用する仕組みの総称で、SaaSはそのうち「完成したソフトウェアを提供する形態」を指します。クラウドという大きな分類の中に、SaaS/PaaS/IaaSの3つの提供形態があるという階層関係です。
Q. 自社にどれが向いているか、どう判断すればよいですか?
A. 「自社にIT運用人材がいるか」「業務をどこまで標準化できるか」の2点で大筋が決まります。IT人材が限られていて業務を標準化できるならSaaS、独自業務があり開発人材がいるならPaaS、インフラを自社で握りたい・規制対応上必要ならIaaSが候補になります。詳しくは「どれを選ぶべきか|規模・目的別の判断ポイント」を参照してください。
まとめ|3層モデルを「責任の所在」で理解する
SaaS・PaaS・IaaSの3層モデルは、米国国立標準技術研究所(NIST)が定めた世界共通のクラウド分類で、「ベンダーが提供する範囲」と「利用者の責任が及ぶ範囲」を整理するための共通言語です。ASPはSaaSの前身にあたるシングルテナント型の提供形態で、現在も総務省の情報開示指針で「ASP・SaaS」として並列に扱われています。
選定時に大切なのは「どれが優れているか」ではなく、自社の規模・業務範囲・IT人材状況に対して「どの層をどのくらい使うか」を設計することです。総務省の情報開示指針による開示状況の確認、ISMAP登録の有無、解約時のデータ移行手段の確認は、規模を問わず共通の出発点になります。
今日からできる3つのこと
- 現在利用中のクラウドサービスがSaaS・PaaS・IaaSのどれかを契約書で確認する
- サービスごとに責任分界(ベンダー責任/自社責任)を一覧化する
- 新規導入予定のサービスについて、ISMAPまたはASP・SaaS情報開示認定の有無を確認する
SaaSをはじめとするクラウドサービスの基礎から実務的な選び方までを体系的に整理した記事として、SaaSとは|定義・仕組み・選び方を公的定義から整理もあわせて参照してください。DXとSaaSの関係を整理したい場合は、DXとは|公的定義から実務までの解説が参考になります。
参考文献
- 米国国立標準技術研究所(NIST)「The NIST Definition of Cloud Computing(SP 800-145)」Peter Mell・Tim Grance/2011年9月/https://csrc.nist.gov/publications/detail/sp/800-145/final(2026年5月30日取得)
- 総務省「クラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaSの安全・信頼性に係る情報開示指針 第3版 ほか)」/https://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000167.html(2026年5月30日取得)
- 総務省「令和6年通信利用動向調査の結果」2025年5月30日公表/https://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000178.html(2026年5月30日取得)
- 総務省「令和7年版 情報通信白書(クラウドサービス)」2025年7月/https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/nd111210.html(2026年5月30日取得)
- デジタル庁「ISMAP(政府情報システムのためのセキュリティ評価制度)」/https://www.ismap.go.jp/(2026年5月30日取得)
この記事に興味を持った方におすすめ
