分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

NIST(米国国立標準技術研究所)による文書「クラウドコンピューティングの定義」では、クラウドコンピューティングのサービスモデル「SaaS」「PaaS」「IaaS」について以下のように定義しています。

SaaS(Software as a Service)

サービスの形で提供されるソフトウェア。
利用者に提供される機能は、クラウドのインフラストラクチャ上で稼動しているプロバイダ由来のアプリケーションである。アプリケーションには、クライアントの様々な装置から、ウェブブラウザのようなシンクライアント型インタフェース（例えばウェブメール）、またはプログラムインタフェースのいずれかを通じてアクセスする。ユーザーは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、各アプリケーション機能ですら、管理したりコントロールしたりすることはない。ただし、ユーザーに固有のアプリケーションの構成の設定はその例外となろう。

PaaS(Platform as a Service)

サービスの形で提供されるプラットフォーム。
利用者に提供される機能は、クラウドのインフラストラクチャ上にユーザーが開発したまたは購入したアプリケーションを実装することであり、そのアプリケーションはプロバイダがサポートするプログラミング言語、ライブラリ、サービス、およびツールを用いて生み出されたものである。ユーザーは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、管理したりコントロールしたりすることはない。一方ユーザーは自分が実装したアプリケーションと、場合によってはそのアプリケーションをホストする環境の設定についてコントロール権を持つ。

IaaS(Infrastructure as a Service)

サービスの形で提供されるインフラストラクチャ。
利用者に提供される機能は、演算機能、ストレージ、ネットワークその他の基礎的コンピューティングリソースを配置することであり、そこで、ユーザーはオペレーティングシステムやアプリケーションを含む任意のソフトウェアを実装し走らせることができる。ユーザーは基盤にあるインフラストラクチャを管理したりコントロールしたりすることはないが、オペレーティングシステム、ストレージ、実装されたアプリケーションに対するコントロール権を持ち、場合によっては特定のネットワークコンポーネント機器（例えばホストファイアウォール）についての限定的なコントロール権を持つ。

3つのモデルのうち唯一"OSに対するコントロール権"を持つIaaSが「OSに係るセキュリティの設定」を実施可能です。

• 全てのモデルで実施可能です。
• 全てのモデルで実施可能です。
• 正しい。IaaSのみが実施可能です。
• ハイパーバイザはハードウェア上で稼働する1つ以上のバーチャルマシンを制御するプログラムで、事業者側が管理します。したがってハイパーバイザに係るセキュリティの設定は全てのサービスモデルで実施できません。

参考URL:NISTによるクラウドコンピューティングの定義(PDF)
　http://www.ipa.go.jp/files/000025366.pdf