クラウドサービスの最も原始的で、最も自由度の高い形態。それがIaaSだ。物理的なサーバやネットワーク機器を自前で持つ代わりに、それらの「インフラ」機能だけを、インターネット越しに借りてくる。

IaaSとは

• Infrastructure as a Serviceの略。
• クラウド事業者が、仮想サーバ、ストレージ、ネットワークといった、コンピュータシステムの土台となる基盤（インフラ）を、サービスとして提供する。
• ユーザーは、提供された仮想的なインフラの上に、OS、ミドルウェア、アプリケーションを自由にインストールし、システムを構築できる。例えるなら、土地（インフラ）だけを借りてきて、そこにどんな家（システム）を建てるかは自分次第、という状態だ。

責任分界点を理解しろ

クラウドを利用する上で、どこまでが事業者側の責任で、どこからが利用者側の責任なのかを明確に区別することが極めて重要だ。

• クラウド事業者の責任範囲
  • データセンターの物理的なセキュリティ、サーバやストレージといったハードウェア、そしてそれらを仮想化するためのハイパーバイザー層まで。物理的なモノの管理は全て事業者に任せる。
• 利用者（自分たち）の責任範囲
  • OS以上の全て。OSのインストール、パッチ適用、セキュリティ設定、ミドルウェアやアプリケーションのインストールと管理、そしてもちろん、その上で扱うデータそのもの。

IaaSは自由度が高い分、利用者が責任を負うべき範囲も最も広い。OSやミドルウェアの脆弱性管理を怠れば、いとも簡単に侵入を許すことになる。

代表的なサービス

• Amazon Web Services (AWS) の Amazon EC2
• Microsoft Azure の Azure Virtual Machines
• Google Cloud Platform (GCP) の Google Compute Engine

IaaSは、自前のデータセンター（オンプレミス）でサーバを運用するのに近い感覚で、インフラを柔軟に拡張・縮小できるのが最大のメリットだ。しかし、その自由は、利用者側の重いセキュリティ責任と表裏一体であることを忘れるな。