SaaSのGo-To-Market(GTM)戦略においては、「ボトムアップ型」か「トップダウン型」を用いることが重要だと言われています。しかし、そのセオリーは、果たしてすべてのSaaS企業が倣うべきフレームワークなのでしょうか?
セキュリティ領域でデベロッパーコミュニティと連携し、両方の型を採用しながら、GTM戦略を実践しているユニークな企業があります。「Snyk」は開発者向けのセキュリティSaaSを提供し、短期間でARR100億円を突破しています。未上場サイバーセキュリティスタートアップとしてはLacework、Netskopeに次ぐ累計約$1.4Bを調達。
ALL STAR SAAS FUNDでは以前に、Snykのスゴさをまとめた記事を配信しました。
今回はさらに一歩踏み込み、Snykの創業者であるGuy Podjarnyさんをお招きし、GTM戦略を解剖。これまでの「型」は「常識」として受け入れ、主軸に置くべきなのか。あるいは、SaaS事業戦略の新しい視点が加わるのか。ALL STAR SAAS FUNDのManaging Partnerである前田ヒロが迫ります。
【プロフィール】
Snyk
Founder, Guy Podjarny
Snykの創立者であり、The Secure Developerの司会者、O'Reillyの著者。以前は、AkamaiのCTOを務め、AppSecの先駆けであるAppScanのリードを務めた。 Snykは「セキュリティの未来は開発者にかかっている」というGuyの信念に基づいて設立された。
魅力的なSaaS領域を見極める、3つのポイント
前田:Snykは非常にユニークな企業で、私が見た中でも類を見ない存在です。Product-Ledの動き方を取りながら、エンタープライズ領域をターゲットにしているところが特徴的ですね。他のエンタープライズSaaSやクラウド領域とは一線を画しています。
さらに、Guyさんはシリアルアントレプレナーであり、約100社のエンジェル投資家でもあります。そういった活動をされている観点からお聞きしたいのですが、特にSaaS領域で、どのようなアイデアや市場が魅力的だと感じていますか?
Guy:この質問にはパーフェクトな回答はないでしょう。でも、私には見るべき重要な3つのポイントがあります。
まずは、顧客のペインポイントを必ず解決できること。多くの技術系起業家はテクノロジーからビジネスを考えがちです。「私たちができるクールなこと」ではなく、「顧客にどのようなニーズがあるか」を考えるべきです。顧客のニーズを無視して進めると、ほとんどの場合は成功しないでしょう。偶然当たることはあっても、いつか壁にぶち当たります。
次に、そのニーズが5年後にもさらに増すこと。ただの機能のギャップや小さな問題を解決するだけでは、長期的な成功は難しいです。5年後でも、実際にはほとんどの企業は「まだはじまったばかり」のフェーズ。会社が解消しようとする課題へのニーズも、どんどん強くなっていく必要があるのです。マクロなトレンドを理解して、将来より必要とされる問題に取り組むべきでしょう。
そして、自分が取り組むことに対して、理屈抜きで信じられること。
まとめると、どんどんニーズが高まるプロダクトであること。そして、それが上手くいくという理屈なしの信念を持てること。これが私が着目することですね。
前田:その考え方をSnykに当てはめると、どうでしょうか。
Guy:Snykでは、現代のソフトウェア開発手法に、セキュリティを適応させることです。まさに、私たちが抱えているリアルなペインだと思います。今でも変わりませんし、創業した8年前も確実に当てはまっていました。
長年、セキュリティ業界に身を置いてきて、開発者にセキュリティプロダクトを使ってもらおうと努力し続けましたが、何度も失敗しましたね。これはどこの会社のセキュリティ担当者も味わっているペインの一例です。
ビジネスの世界、そして私たちの個人的な生活がデジタル化して、開発者依存度が高まるにつれて、より強くなるものです。
しかも、開発ペースはどんどん速くなっている。外部からでは、誰も追いつけないでしょう。だからこそ、ペインがあったのです。そのペインはますます、明確に強くなっている。
私たちは逆張りのアプローチを取りました。開発者がセキュリティを受け入れるためには、セキュリティ会社ではなく、開発者向けツールの企業を立ち上げる必要がある、と。会社の全体的な考え方としては、「私がセキュリティ問題に取り組む開発者だったとして、開発者のことだけを考えるとしたら、何が必要なのか」です。これだけに集中しなくてはいけませんでした。
この考えがSnykのすべてを形作っています。ブランド、GTM戦略、プロダクト、会社のカルチャーに至るまで、すべてがこのビジョンに基づいています。
Snykが「オープンソース」に注力した理由
前田:最初は開発者の注目を集めることは難しかったと思います。何か意図的に行なったことはありますか?
Guy:色々なことをしましたよ。ですが、何よりも先に、先ほどお話しした問題について自分たちが信じること、自分が確信を持てるかどうかが重要です。
そこで「どのように注目を集めるか」と「どのようにプロモーションするべきか」を考えました。その一環として、開発者にとって適切なソリューション、つまりは開発者向けの企業と協力することがありました。開発チームの中で、どのようにすればこの新しい考え方を受け入れてもらえるだろう、とも考えました。
その結果、私たちは「オープンソース」に注力することにしたのです。私たちのプロダクト自体をオープンソースにするということではなく、「オープンソースプロジェクトを使うなら、一緒にSnykを使ってもらおう」と考えたのです。
なぜなら、オープンソースこそが「スタンダード」を作り出しているからです。オープンソース開発は、公開されていてみんなに見えるもの。だから、オープンソースプロジェクトに私たちのプロダクトを受け入れてもらえたら、それは実質的に、セキュリティに関心を持つロールモデルを他の人々に示していることになります。
彼らは、誰にも強制されず自分自身が選んでそのソリューションを使っている。それがオープンソースですからね。オープンソースの作者から指示を受けることなどありません。彼らが使ってくれる中で、脆弱性が見つかれば、私たちはそれを修正する。機能の実証にも繋がるのです。
私たちは修正に必要な最小限の変更を加えた修正済みのプルリクエストを作成します。これも目に見えるものです。そのオープンソースプロジェクトを見ている全員が見られますよね。
前田:素晴らしい、まさに発想の転換だと感じます。他にも、施策はありますか?
Guy:2名ほどの運営体制で開催していたカンファレンスを買収したこともありましたね。あとはPodcastやコミュニティイベントもはじめました。「セキュリティの取り組み方を変えたい」と思っているDevSecOpsたちにとっての「ホーム」を作りたいと思ったのです。
私たちはコミュニティの中で起こる会話をリードしたり、ファシリテーションしたりしました。自分たちの姿勢や想いを伝えるために、たくさんのことをしてきたんです。
全体的に高品質なソフトウェアを構築したいと考えるならばセキュリティが必要であり、開発者が使えるセキュリティツールを使うべきだ、という意識は高くなったと感じます。もちろん私たちだけの影響ではないはずですが、少しは貢献はできたのかな。
「プロダクト・ユーザー・フィット」から「プロダクト・バイヤー・フィット」へ
前田:Snykは、ARR10万ドルを達成するのに約2年かかりましたが、その後は急速に成長したと聞いています。ARR10万ドルを達成した時、何か変わりましたか。プロダクトに変更はありましたか?
Guy:Snykは、バイヤーではなくユーザーにフォーカスしています。通常、セキュリティ担当者が私たちのソリューションを購入しますが、私たちは最も重要なユーザーは開発者だと考えています。
初期の頃は売上には焦点を当てず、開発者にプロダクトを使ってもらうためのブレイクスルーを目指していました。これが何よりも大切なことだったんです。ですから、2年間のうちの最初の1年は、売上のことは、意図的に完全に度外視していました。
結果として、Snykは「プロダクト・ユーザー・フィット」を達成し、ユーザーが私たちのプロダクトを購入するようになりました。そして、2年目には「プロダクト・バイヤー・フィット」を目指しました。バイヤーのニーズを満たすために、ユーザーに引き続き投資しながら、より多くの機能を構築しました。
特に2年目は難しいジャーニーでした……。そもそも私たちは、プロダクト・バイヤー・フィットを狙わなくても、開発者はプロダクトを買ってくれると思っていたんですよ。だから、これは後知恵なんですけどね。
ただ、一度でも正しく「プロダクト・バイヤー・フィット」を達成し、必要な機能を備えた頃からは、開発者に求められるプロダクトであることが利点となって、私たちの成長を加速させました。
前田:バイヤーに対して、どのようなアプローチを取りましたか。ユーザーを獲得した後、どのようにしてバイヤーや決裁者との接点を作っていったのですか?
Guy:私たちには2タイプのフリーユーザーがいます。一つはオープンソースユーザーで、彼らには購買よりもSnykのクチコミを広げてもらうことを望んでいます。もう一つは、ビジネスで何かを開発しているコマーシャルデベロッパーで、彼らにはバイヤーを紹介してもらえるようお願いしています。もちろん、先に成功してもらうことが大事ですが。
また、独自の「PQL(Product Qualified Lead)スコア」を用いて、対象の組織が私たちのプロダクトを購入する可能性を数値化しています。ただ、このスコアは、その人が買ってくれるかどうかを表したものなので、対象者のポジションや提供するプロダクトによって、どのくらい成功したかも考慮します。これも自動的に分析してくれるシステムがあるんです。
あとは、同じ会社でも、開発者とセキュリティチームがあまり連携をしていないケースもあります。開発者が、バイヤーとなるセキュリティチームを紹介してくれるまでに、すごく時間がかかることも。そんな時は、会社の中の他の開発者に声をかけて、セキュリティチームに繋げてもらうようにしています。
これはよりアウトバウンドな動き方といえます。私たちは「Pincer Movement(はさみ撃ち)」と呼んでいるのですが、両方からカバーしようとしています。
アウトバウンドでは、会社のセキュリティ担当者へ、こんなふうに声をかけます。
「あなたの会社の開発者で、すでに10名がSnykのユーザーだと知っていましたか?」
「サプライチェーンのセキュリティを強化したいと思いませんか?」
「コンテナセキュリティ、コードセキュリティはどうでしょう?」
そういうきっかけから契約に繋げていきます。このようなPincer Movementは、プロダクトを広げていくために役立っていますし、Snykおける基礎になってもいます。開発者が自分たちで購入するまで待つのではなくね。
PQLベースでも、サイズ別にセグメントを分けている
前田:今、Guyさんが話してくださったアウトバウンドの動き方は、PLG(Product-Led Growth)とも異なるものだと感じます。Snyk社内では、この2つはどのように機能していますか?異なるKPIやゴールを追っているチームがあるのか、それともクロスファンクショナルな在り方ですか。
Guy: 会社内で完全に分離した動き方はしていません。サイズ別にセグメントを分けていますね。
たとえば、PQLである銀行の開発者から、銀行のセキュリティチームに繋がることはありません。基本的に、大企業ではそういったことは起きないんです。大企業でPQLをベースに動く際は、Snykの利用事例を集めることを目的としています。
ただ、中小企業であればPQLからセキュリティチームに繋がることはあり得ます。そこで、PQLに焦点を当てる動き方は、主にベロシティチーム(SMBチーム)によって管理されており、さらにアウトバウンドとアウトリーチで担当者を分けています。
プロダクト面では「インバウンド/アウトバウンド」という点で区分けすることは、ほとんどありません。一方で「フリーユーザー/コマーシャルユーザー」や「開発者/セキュリティ担当者」という視点では分けています。
前田:Snykが成長するほどに、フリーユーザーとの向き合い方は難しくなりそうですね。
Guy:そうですね。会社が成長するにつれ、フリーユーザーからの注目を失わないようにすることは課題となりました。お金を支払っているユーザーからの注目を集めることは簡単ですが、フリーユーザーの場合はそうはいきません。
私たちは、最初はフリーユーザーの開発者を中心に展開していましたが、突然、セキュリティ担当者に注力する別のグループを設置する必要が出てきました。そして開発者に注力するグループは、よりグロースに視点を持つようになり、今では、開発者の体験とニーズに焦点を当てるグループが複数あって、1,000人を超える大きな組織になりました。
私たちは、セキュリティに関する実績、そして開発者の体験を持っていて、さらにさまざまなプロダクトがあります。それぞれのプロダクトが、開発者とセキュリティ担当者を繋ぐ架け橋となってくれているんです。だから、開発者とセキュリティの両方、そしてその間の関係性をしっかり配慮する必要があります。こういった背景から、セキュリティと開発者の双方に専任チームを置くようになったんです。
Snykでも、大企業内の小さなチームにプロダクトは上手く売れない
前田:プロダクトの拡大についても伺いたいです。どういった考えのもとに開発を?
Guy:Ripplingとはまた少し違うかもしれないですが、私たちも新たなプロダクトを開発しました。会社の規模で考えれば、Snykは通常よりも多くのプロダクトを持っています。これらのプロダクトがアプリケーションの幅をどんどん拡げ、継続的な成長に繋がっていると思います。
もし、あなたの会社が、PLGを採用するのなら「プロダクト・ユーザー・フィット」と「プロダクト・バイヤー・フィット」を分けて考えることは、重要だと考えます。それぞれ、似たような業務を行なっていることもありますが、バイヤーの方はもっとシニアな人になるでしょう。例えば、マーケティング実務担当者とか、マーケティングマネージャーとか。
ただ、私たちの場合は、セキュアなコードを書くことは開発者の仕事ですから、無料プロダクトでカバーする範囲は「開発者がセキュアなコードを書くことまで」としています。
セキュリティガバナンスを提供し、事業部門や組織が、セキュアな状態を確保できるようにすることは、セキュリティ担当者の仕事です。だから、Snykを購入する時に必要な最小限のプロダクトは、実はとても大規模なものになるのです。
実際、大企業内の小さなチームにプロダクトを売ることは、私たちもそんなに上手くいっていません。セキュリティ担当者は、事業部門の目的を果たすことを考えているので、Snykを購入する時もそれを軸に判断します。これが事業部を満足させるために対象範囲を広げる必要があった、もう一つの理由ですね。
PLGの実現可能性を高めるために、定義すべきステップ
前田:Product-Ledな手法を取る場合、どのような条件や環境が必要だと思いますか。すべてのユーザーやプロダクトで実現できるとは限らないはず。Guyさんの経験から見える、条件や環境には、どのようなものがありますか?
Guy:まずは、いくつか定義すべきことがあると思います。
はじめに、「あなたが提供できる最小限の価値とは何か。そして、本当に価値があると感じる最小のユーザーグループは誰か?」を考えるところからはじめます。Snykで言えば、最小限の価値は「開発者が書くコードをセキュアなものにすること」です。価値を感じるユーザーグループは「コードを書く開発者」となりますね。
いや、実際のところ最初は、もっともっと小さくユーザーを絞りました。「特定のスタックを使っているNode.js開発者で、オープンソースのライブラリを使用していて、セキュアなやり方を探している人」でした。
最小単位を定義したら、次に、プロダクトを使用する際に「必要な摩擦」を理解することが大切です。技術的摩擦、組織的摩擦、信頼の摩擦を考慮しなくてはなりません。これらの摩擦が高すぎる場合、克服するのはとても難しくなります。
- 技術的摩擦:プロダクトをインストールして使うために、何をしなければならないのか。
- 組織的摩擦:プロダクトを使うために誰の同意が必要なのか。誰を説得すれば良いのか。
- 信頼の摩擦:主に情報へのアクセスに関することで、どれだけ信頼されるのか。従業員の個人情報にアクセスする必要性や、彼らのクラウドに高レベルのセキュリティアクセスを提供するために、セキュリティを繋げる必要はあるのか。
最小限の価値を実現するのが容易で、摩擦も低いのであれば、PLGを実現できる可能性が高まります。
そこからは、「本当にやるべきか」という問いに答える必要があります。PLGを成功させるためには、成長の機会が必要ですから。非常に特殊なタイプの個人によって比較的簡単に採用されるプロダクトを探している場合、十分なユーザーがいない可能性がありますよね。例えば、マーケティング責任者のためのプロダクトでは十分なユーザーがいないので、PLGを採用すべきではありません。特にフリーミアムで展開する場合、コンバージョン率は大きくありません。ほとんどのユーザーは、無料のままで使い続けるか、一度トライしても続けないことが多いでしょう。
その点、Snykが対象にした開発者の場合は、すでにユーザー候補がおり、今後も増えていくことが見えていました。ここまでをクリアすれば、あとは「どうやって彼らにリーチしていくのか」などを考えるステップに進むことができますね。
カテゴリーがなければ新設し、コミュニティを築いていく
前田:プロダクト以外で、コミュニティや口コミなど、取り組みを効果的に機能させる要素はありますか?
Guy:PLGを採用したら、ターゲットとなる「人」を定義します。そして、どうやってその人たちと繋がり、関係を築いていけるのかを考えます。開発者の場合、彼らがどのような行動をしているかを理解することが大切です。多くの場合、コミュニティが重要になります。
Snykでは「カテゴリー・クリエイション」を行ないました。「デベロッパーセキュリティ」という新しいカテゴリーを作り、意見をまとめ、コミュニティを新たに作り、リードしました。長い時間もかかりますが、結果的に強力なポジションを築くことができました。
既存のマーケットに参入する場合は、すでに存在しているコミュニティに参加することもあります。例えば、SnykはNode.jsの開発者コミュニティに参加しました。コミュニティは人々が交流する場として、とても重要です。ただ、その中で、どのような役割を果たしたいかを考えることも大切です。
コミュニティは影響力を持つ手段であり、プロダクトを広めるマーケティング手法の一つです。コミュニティはユーザー思考が強いので、ユーザーに焦点を当てたPLGを採用する場合は、そのリーチを達成するための一般的な手段となります。
「良いM&A」を実現するための絶対条件
前田:M&Aについても聞いていきたいと思います。Guyさんは両方の経験をお持ちですよね。自身が創業した会社を売却した経験、そして複数の企業を買収した経験がある。特に現在の環境下では、どのようなM&Aが成功するのでしょう。顧客はプロダクト間のシームレスな連携や経験を求めますよね。「良いM&A」とは何だと考えますか?
Guy:現時点で8件の買収をしてきましたが、チームと技術の買収を主に行なっています。インテグレーションについては、成功していることが多いですね。
まずは、自分たちの主要な事業計画にとって有益な企業、一定の能力を持つ企業を探します。例えば、私たちはオープンソースライブラリを守るプロダクトを持っていたのですが、そこにコード分析を追加したいと考えていました。プロダクトにとって重要な機能です。4〜5ヶ月をかけてマーケットを探しましたが、適するプロダクトは存在しなかった。
そこで、自分たちで開発をしようとしたのですが、たくさんの困難にぶつかりました。そんな時に「DeepCode」という会社を見つけたんです。彼らはセキュリティコード分析をしていたのではなく、クオリティコード分析をしていました。でも、課題への取り組み方が非常に素晴らしかったので買収を決めました。私たちには明確な事業計画があるので、その計画に沿った動き方をしてもらいました。
もう一つは、創業者たちに、彼らが持っているビジネス機会以上のものを提供できるかが重要だと思います。自分たちの会社で世界を変えようとしていたような野望を持った彼らが、買収後は特定の領域を任されることになるからです。なので、買収したすべての会社に、会社全体の責任を何かしらの形で持ってもらうことが重要です。
3年ほど前の話になりますが、DeepCodeはAIを使ったプログラム分析を展開していました。新しいプロダクトを作ることは最優先事項でしたが、同時に彼らはSnykにとってのAIの中核的存在になったんです。
「Manifold」は、プラットフォームとアプリケーションの拡張性を高める新しいプラットフォームを開発していますが、彼らが次世代技術プラットフォームの基礎となりました。「TopCoat」は、レポーティングの機能を開発しましたが、彼らは私たちにとってのデータプラットフォームとなりました。
買収したすべての企業がこのような経験をしています。特に創業者は、会社全体に影響を与えるような、より大きなことを成し遂げていると感じていると思います。これは、会社の他の領域にも携わってもらうきっかけになります。
この2つを上手く行なった結果、彼らを引き込み、成長させることができ、非常に良い結果をもたらしました。買収した創業者の多くは、会社の中でもかなり重要な責任を持ったポジションに就いています。
AIがコードを書く世界が来た時、Snykが果たせる役割
前田:GuyさんのAIに関する視点も聞けたらと思います。まさにこれからは、SaaSとAIとの関わりはより深くなることに対して、楽観的な視点を持っていますか。それとも、少し悲観的な視点を持っていますか?
Guy:私はAIの信者です。AIは素晴らしいですし、誰もがビジネスに活用する方法を学ぶべきだと思います。すべてのビジネスに影響してくるでしょう。でも、どの立ち位置から見るかで、向き合い方も変わってきます。
まずは投資家の視点でお話ししようと思います。先ほど「理屈なしにその会社を信じられるかどうか」という話をしましたが、「AIの存在は必然的に多くのものをディスラプトする」と信じている人がほとんどでしょう。だから、多くの人がAIに投資をしていますよね。そうなると、投資家としての自分は、その分野に魅力を感じないのです。多くの企業がAIを使っていることは明らかですよ。SDRのメールをAIを使って書いたり、AIでコード補完させたり……でも、あまりにも多くの企業が、同じようなことをしています。
一方、会社の中からの視点で見ると事情は変わります。私たちはAIを3つの視点で見ています。1つ目は、AIを使って顧客により良いサービスを提供すること。そのために買収した企業もあります。Snykには修士や博士を持つ人材が集まった30人ほどのチームがいて、AIモデルを構築してきました。AI領域に深く関わり、今後も投資をし続けるでしょう。主には脆弱性をより賢く見つけて修正するために、AIを使ったプログラム分析の領域です。チャットインターフェースなどもですね。
2つ目は、ソフトウェアを開発するために私たちの顧客がAIを利用していること。AIによるコード生成は非常に魅力的で、彼らの仕事のスピードを向上させます。でも、それは脆弱性を増幅させます。生成されるコードは脆弱なコードでトレーニングされているので、結果として脆弱性を生み出してしまう。そこでSnykができる役割はたくさんあります。言わば「AIのためのガードレール」ですね。企業がAIをより早く開発過程で採用できるようにサポートすることができます。
3つ目は、今のところ最も抽象的なことかもしれませんが、AIがソフトウェア開発をどのように変えるのかということ。明日、開発者に広がる世界はどう変わるのか。アプリケーションのセキュリティという点において、それは何を意味するのか。それ自体でも長いトピックになると思います。
ただ、高いレベルで私が信じているのは、現在のプログラムコードは「何をする必要があるか」と「どのようにそれをするか」の両方を含んでいます。でも将来は「何をする必要があるのか」という仕様を提供すると、あとはAIがその方法を生成してくれるようになることを期待しています。
今、多くのスタートアップが、それを実現させようと取り組んでいますよね。「誰に投資すべきか」を言うのは難しいですが、私はそのトレンドが起きると思います。コードを生成するためのマシーンへの指示がより抽象的になっていくでしょう。開発の入門のハードルを下げることができるので、世界中により多くの開発者が生まれると思います。
もっとも、新しいワークフローや働き方が誕生するので、それを採用するには時間もかかるでしょうけれど。
前田:その時代が来た時、Snykが果たせる役割は、より大きくなるのかもしれませんね。今日は貴重なお時間をいただき、ありがとうございました!
※この記事は2023年11月9日に開催した「ALL STAR SAAS CONFERENCE 2023」のセッションから抜粋・再構成しています。
Snyk の詳細についてご興味をお持ちの方は、資料請求より資料をダウンロードください:https://go.snyk.io/jp-shiryoseikyu.html
