「ボトムアップ型」か「トップダウン型」か ———— このいずれかの型を用いて展開することが、SaaSのGo-To-Market戦略において重要だと言われています。このいずれかの型を選ぶ考え方は、本当に全てのSaaS企業が倣うべきフレームワークなのでしょうか。
セキュリティ領域でデベロッパーコミュニティを上手く活用し、両方の型をうまく採用し、GTM戦略を実践している非常にユニークな企業、それが「Snyk」です。 短期間でARR 100億円を突破したその戦略はどのようなものなのか。その成長を紐解くと、セキュリティ領域に限定しては勿体無い、すべてのSaaS企業にとって教科書となるほどの、素晴らしい戦略が潜んでいました。
今回、長年Developer Opsの世界で活躍しているSnykの創業者 Guy Podjarnyさんが、2023年11月9日開催「ALL STAR SAAS CONFERENCE 2023」に登壇します。
これまでの「型」は、「常識」として受け入れ、主軸に置くべきなのか。または、SaaS事業戦略の新しい視点が加わるのか。実際に見て、聞いて、発見してください。
開発における速さと安全性を両立させたパイオニア、Snyk
Snykは、開発者向けのセキュリティSaaSを提供する企業です。開発者が使用するオープンソースソフトウェア(OSS)やコードに関連する脆弱性を発見し、修正するためのソリューションを提供しています。そんなSnykが身を置く、セキュリティの世界について少し解説します。
昨今のソフトウェア開発の現場では、開発速度や効率が向上するという点からOSSやフレームワークの使用が一般的になっています。Cybersecurity Research Centerによる2022年の調査によれば、(調査対象の)ソフトウェアのうち、OSSを含む割合は96%に及んでおり、ソフトウェア開発には欠かせない存在になっています。
一方で同調査では、脆弱性を含むOSSの割合は84%ともなっており、OSSの活用にはセキュリティリスクをはらんでいる点が課題となっています。
OSSはそもそも開発者が無償で公開しているものです。セキュリティレビューやテストを行なうリソース(人手や資金など)が限られていることなどが、リスクをはらんでいる要因として挙げられます。
2014年にはSSL/TLS(WebサーバとWebブラウザとの通信においてやりとりされるデータの暗号化)ライブラリで最も多く利用されているとされるOpenSSLライブラリにおいても脆弱性が散見されていたり、2021年にはJavaアプリケーションで広く使われるロギングツールでもある「Apache Log4j」にも複数の脆弱性が報告されています。
ご覧の通り、OSSやフレームワークにおけるセキュリティには解けきれないほどの課題があり、Snykはこの問題に着目し、誕生しました。
ソフトウェア開発プロセスに“セキュリティ”を組み込み、スピーディでかつ安全な開発を目指すことを別名「DevSecOps」と言いますが、その市場規模は2022年時点で$4.4B(約6,000億円、1ドル = 140円換算)、2032年までには年平均成長率122%で$30B(約4.2兆円)に達すると見込まれています。
Snykは開発者ファーストのセキュリティツールを提供するプレイヤーとして、このDevSecOps市場を確立したパイオニアです。Snykは上記に記したオープンソースの脆弱性を検知・報告することに加えて、アプリケーション実行に必要なコンテナや、そのコンテナを管理するOSS「Kubernetes」の脆弱性の検知まで、包括的にアプリケーションやクラウド開発環境のセキュリティ強化をサポートしているのです。
Guy氏の「経験」と「強み」から誕生したSnyk
Snykは2015年にGuy Podjarny (現Founder and President)、Assaf Hefetz (現Co-Founder and CTO)、Danny Grande(現General Manager)の3名によって設立されました。
3名ともイスラエル国防軍において信号情報収集や暗号の解読を主な任務としている精鋭部隊、「8200部隊」に所属していた過去があり、それぞれCTO経験のある開発力に長けたチームです。
Guy氏は8200部隊を出た後、SanctumというWebアプリケーションの脆弱性診断やセキュリティ強化のソフトウェアを提供する会社に入社します。Sanctumはその後Watchfireに買収され、今度はWatchfireがIBMに買収されるという形で吸収されていく中、Guy氏は一貫してSanctum時代に開発したAppScan(アプリケーションのセキュリティ診断ツール)のリード開発者やプロダクトマネージャーを担っていました。
その後、2010年にBlaze Softwareというフロントエンド最適化(FEO)によるWebパフォーマンス向上を支援する企業を立ち上げ、CTOとして活動。2012年にはAkamaiに買収されています。
Guy氏がBlaze Softwareで活動する頃から、新しい開発の考え方として「DevOps」が浸透してきており、長らく開発サイドに携わっていた彼にとっては「DevOps was our eureka moment(DevOpsは、私たちにとってまさに天啓の瞬間だった)」と言うほどに、開発プロセスのプレイブックが変化する劇的な瞬間を目の当たりにしました。
DevOpsとはソフトウェア開発(Dev)とIT運用(Ops)が連携してシステムを開発・運用することを意味します。
「アジャイル開発」という手法が誕生してから、小さくスピーディにプロダクトや機能をつくり改善を重ねてサービスを育てていくようなスタイルが主流になったのは読者の皆さまもご存知でしょう。しかし一方で弊害として、開発側のチームがとにかく機能の追加や修正をどんどん進めても、運用側サイドで機能開発をしたものが結局は安定的に運用できずに障害が発生してしまうことが起こっていました。
「開発」「運用」をそれぞれバラバラの状態で開発プロセスを回すのではなく、両方密に連携させた形で継続的な開発や改善を繰り返していける仕組みが模索され、DevOpsという考え方が誕生したのです。
しかし、DevOpsの考え方も完璧なものではありません。組織間の連携や透明性は高まり、お客さまへの価値提供できるスピードと量は上がっていきましたが、一方で、前述のようにライブラリにセキュリティに関わるバグがあったりと、セキュリティやコンプライアンスの考え方が取り残されていることが課題として指摘されました。
実際問題、Webアプリケーションの脆弱性の調査では、何らかの脆弱性が含まれている割合はここ数年約9割という高い水準で推移しており、依然として改善の余地が大いにある領域となっています。
Guy氏は上記の課題に着目し、長らくセキュリティ領域に従事していた経験を生かし、Snykを立ち上げ「DevSecOps」の領域へのチャレンジをはじめました。
20年近くセキュリティ領域に携わるGuy氏ですが、彼は当該領域の推進者として様々な活動に身を注いでいます。例えば、SanctumやIBMの時代に同僚であったOry Segal氏(現Palo Alto Networks CTO)やAdi Sharabani氏(現Snyk CTO)と共に特許を取得してセキュリティの研究を進めたり、The Secure Developer Podcastという名のPodcastをホストとして運営し、世の中の認知や理解を広めるための発信活動を積極的に行なっています。
数字で見るSnykのスゴさ
ここではSnykの事業場のスゴさを数字面で分析していきましょう。
(1)累計調達額
Snykは現在、未上場サイバーセキュリティスタートアップの中で、Lacework、Netskopeに次ぐ3番目の累計調達額(約$1.4B 日本円で2,000億円超※)を誇っています。2021年にシリーズFで$530Mという大型調達を経た後、SaaSの調達環境が厳しくなった2022年においてもシリーズGで$196.5Mで調達を実現しています。
引き続き大型の調達ができている裏付けとして、シリーズGの調達リリースでは、AB InBevやSalesforceなどの大型企業の導入状況や高い売上成長率など、足元の業績の好調ぶりが挙げられ、今後もさらなる成長が期待されます。
※2003年9月22日時点のレートで計算
(2)成長率
Snykの直近の売上成長率は、2019年でYoY400%、2020年がYoY200%、2021年YoY154%、2022年YoY100%と高い水準を維持しています(現時点でARRは$217M)。NRRも2022年12月時点で130%と高い水準を達成しており、上場SaaS企業の優秀とされる水準(約120%)を上回る実績を上げています。Snykが提供するDeveloper Security Platformの中でも、70%以上の既存顧客が複数の機能を利用しており、これがNRR成長の後押しに繋がっていると考えられます。
(3)利用する開発者数
Snykのプラットフォームはおよそ220万人の開発者が利用しており、多くのユーザーによって愛されています。220万人という数字は、特定のドメインでグローバルに展開する他のBtoB SaaSプロダクトで考えると、Figma(400万人)やHopin(350万人)などの水準です。また、ヒューマンリソシアの調査によると、世界のIT技術者はおよそ2,500万人とされ、全世界の10%近くがSnykを利用していることになります。キャズム理論で考えれば、まだまだアーリーアダプターに採用されているフェーズであり、今後も利用者が増える余地が大いにあると考えられます。
(4)市場成長
「【ALL STAR SAAS ROADMAP vol.02】日本発「サイバーセキュリティSaaSスタートアップ」の勝ち筋を考える」ではマッキンゼーアンドカンパニーの調査を参照させていただきましたが、当該記事ではサイバーセキュリティ全体のTAMの大きさとポテンシャルについて記載させていただきました。こちらの調査では、サイバーセキュリティの各セグメント(クラウドセキュリティ、データ保護など)の市場ポテンシャルについても分析されており、アプリケーションセキュリティに関しては、現在市場浸透率(世の中に提供されているツールがカバーしている市場規模)は1~5%と、まだまだ市場開拓の余地がある領域であることが窺えます。
VC目線から見た、Snykのスゴいところ
(1)PLGとCLGの両輪でのグロースモデル
Guy氏は、Snyk創業のタイミングから、まずプロダクトに対して高いロイヤリティを持つユーザー基盤を構築し、それを足がかりにして取引を長期的に成立させることが成長戦略の鍵になると考えていました。いわゆる、Product-led Growth(PLG)の考え方です。
これまでセキュリティ領域のプロダクトは、ツールやソフトウェアに投資する予算の決定権を持っているであろうCISO(Chief Information Security Officer)やセキュリティ部門を統括する人がセキュリティプロダクトを購入し、トップダウンでツールが導入されることが通例でした。経営層のニーズを満たすプロダクトを提供することで大きくマネタイズできる一方、ユーザーとなる現場層に必ずしもフィットするとは限らず、結果としてオンボーディングやアダプションに時間がかかることが課題としてありました。
Snykが創業した2015年頃は「DevSecOps」という概念は比較的新しかったこともあり、まずはターゲットユーザーとなる開発者に対してのDevSecOpsという概念の浸透と、自身のプロダクトをきちんと使ってもらうことを重要としました。
まずは開発コミュニティの中でもNode.jsを活用するコミュニティに特化したプロダクト提供からスタートさせるなど、一部のユーザーに愛される価値を提供することからスタート。Twitterやカンファレンス、ミートアップなどの機会を通じて開発者へのアウトバウンド活動を繰り返しながら徐々にユーザー数を増やしていくことで、Snykというブランドをボトムアップで築き上げてきました。これこそ、Community-led Growth(CLG)です。
2018年頃よりユーザーグロースの専任を採用し、コンテンツマーケティングやSEOへの積極的な投資を図り、2019年には最初のM&AとしてDevSecOpsコミュニティを運営する「DevSecCon」の吸収を実施。ユーザーコミュニティの層を厚くしていく仕組みを確立しています。最初期から実施しているSnykのユーザードリブンのグロースモデルは、Slim.AIやCloudQueryなど他のセキュリティスタートアップでも採用されるほどの、セキュリティスタートアップ業界における新しい成長モデルになっています。
(2)積極的なM&A戦略とTAMの拡大
創業期のSnykのプロダクトは、開発者のユースケースに特化したプロダクトでしたが大手企業への導入には苦戦しました。特に上場企業や上場を見据える企業は、セキュリティインシデントを発生させないために、可能な限り広い範囲で対策を履行できるツールや、状況をリアルタイムで可視化しスピーディに意思決定できるような可視化ツールを求めています。そのようなエンタープライズのニーズを満たすために、Snykは積極的な資金調達とM&Aにより、ケイパビリティの獲得を行なっています。
第3章で記した力強いトラクションを裏付けとしながら、シリーズC以降、彼らは3桁ミリオンの追加調達を継続的に行ないながら成長投資を続けています。デベロッパーセキュリティプラットフォームとして、企業が導入するクラウドサービスやアプリケーションのセキュリティ状態を管理し、組織全体を支えるプロダクトを作り上げています。
(3)創業5年でCEOの権限を委譲。組織体制を大きく変更
Guy氏は2019年にCEOの座をPeter McKay氏に譲っています。Peter氏は、Guy氏がWatchfireに勤めていた時にCEOとして活動しており、Guy氏からすれば上司となる人物でした。また、Peter氏はVeeamのCEOやVMWareでGMを担い、$4B(約5,600億円)のビジネスをマネージしていた経験を持ち、これまでCEOとしての経験はなかったGuy氏にとって、Snykを大きく成長させるために適任とも言える存在です。
過去のインタビューでも、「Peterは、大規模な経営やマーケット攻略の経験をもたらしてくれる。これは私にはない経験であり、私と補完関係になれる」と述べています。
このトランジションを経て、Snykは現在もうすぐデカコーンになるというところまで、評価を高めてきています。大きな会社にしていくために必要な意思決定を行ない、そのために必要な人材を外部から巻き込むSnykの戦略性と採用力は、見習うべきところではないかと思います。
そんなSnykが11/9(木)のALL STAR SAAS CONFERENCEに登壇!
Devsecopsの市場を開拓。PLGとCLGの両輪で見事なグロースを達成。シリアルアントレプレナーとしてのGuy氏の適切な決断の数々......
未上場SaaS企業の中で注目されている企業の一社であるSnykから、日本のSaaS経営者は学べることが非常に多いでしょう。
日本最大級のSaaSイベント、ALL STAR SAAS CONFERENCEにGuy氏も登壇します。そのほかにもRippling、Pendoなどの海外有力SaaS企業に加え、マネーフォワード、SmartHRなどARR100億円を超える一流の国内SaaS企業から豪華なゲストにご登壇いただきます。
開催は11/9(木)。座席数に限りがあるので、奮ってご参加ください!
