はじめに
こんにちは、Flatt Securityで事業開発をしている小島(@ryoidong)です。
今回はFlatt Securityが挑んでいる「開発者向けのセキュリティSaaS」という事業領域についてご紹介できればと思います。
私はこの領域について、1兆円企業が次々と生まれるポテンシャルがあると日々感じているのですが、日本ではその市場についてあまり語られることがないように思います。
そこでこの記事では、
- 開発者向けセキュリティSaaSと、従来のセキュリティSaaSとの違い
- 開発者セキュリティSaaSの市場の急速で安定した成長
- 開発者セキュリティSaaSの事業をつくる面白さ
について、海外VCのレポートなどを引用しながらご紹介していきます。この記事を読んで、少しでもセキュリティ事業の面白さを感じていただけたら幸いです!
開発者向けのセキュリティSaaSとは何か
開発者がセキュリティの責任を担うという新しい潮流
この記事で紹介する「開発者向けのセキュリティSaaS」とは、セキュリティ専門のメンバーだけではなく開発者も購買者・利用者として想定されているセキュリティのSaaSを指しています。
開発者向けのセキュリティSaaSが生まれてきた背景には、開発チームにおけるセキュリティ業務の考え方の変化があります。
従来の開発プロセスでは、開発者が実装したアプリケーションや構築したインフラに対してセキュリティの専門家がそれらの診断・監査し、その結果を受けて開発者が修正を行うといった図の①のような開発フローが取られていました。しかし、この開発フローではセキュリティに問題があった場合、図のように開発工程を遡って修正をする必要があり、手戻りが多く発生していました。
一方で、現代のテック企業の競争力の源泉はソフトウェア開発能力であるため、その開発効率は重要な課題になっています。そのため、図の②のように、「できるだけソフトウェア開発プロセスの早い段階でセキュリティの問題を見つけることによって手戻りをなくし、開発効率を上げる」という考え方の浸透が進んできました。この考え方は、セキュリティの工程を「左」に移行させることから、一般にシフトレフトと呼びます。
実際に、GitLabの2022年の調査では、53%の開発者が組織内のセキュリティに「全責任を持つ」と回答しており、この割合は同調査が2021年に行われた時と比べて14ポイント増加していました。また、セキュリティ担当者の57%が「自分の組織をセキュリティをシフトレフトしたか、あるいは今年中にシフトレフトする予定」であると回答しています。
このように、セキュリティの専門チームだけでなく、開発者もセキュリティの責務を持つという考え方が広がっており、シフトレフトに向けた取り組みも広がりつつあります。
開発者向け”でない”セキュリティSaaSとの違い
しかし、開発者がセキュリティの責務を持つという流れは進んでいるものの、前述のGitLabのアンケートにあるようにまだシフトレフトが進んでいない組織が多いのも事実です。なぜなら、様々な開発チームが導入するにはまだ従来のSaaSのエコシステムに課題が多くあるからです。
そのため、これらの従来のセキュリティSaaSの課題を解決するために、「開発者向けのセキュリティSaaS」という従来と違ったアングルのプロダクトが生まれ、異なるGo-To-Market戦略をとることで急成長しています。
このセクションでは、「機能」「ユースケース」「セールスフロー」という3つの特徴の違いから、開発者向けのセキュリティSaaSがどのように既存のSaaSの課題を解決しているかを整理していきます*1。
■機能の違い
従来のセキュリティSaaSは、いわばセキュリティの管理者向けの機能が充実しています。セキュリティ管理担当者が悪意のある第三者から攻撃を受ける攻撃対象領域(=Attack Surface)をどう守るか?という観点で作られており、攻撃対象領域の広さに関心を持ち、そのカバレッジの拡大や統合管理ができることが主な特徴です。具体的には、Webブラウザ上のダッシュボードなどの高い一覧性を持つ機能や、問題へ対応するためのワークフロー・タスク管理の機能が拡充される傾向にあります。
一方で、開発者向けのセキュリティSaaSは、ソフトウェア開発工程の中で開発工程に寄り添うことで、脆弱性を早い工程で発見して修正しやすくすることに関心があります。
なぜなら開発者は、通常の開発・運用業務と並行してセキュリティ業務を行う必要があるため、できるだけコストをかけず開発者体験 (いわゆるDeveloper eXperience)が良い形で修正できることが求められるからです。
開発者が普段使うGitHubやSlackなどのツールとの連携が強く、コードエディタやターミナルなどの開発環境で動作するサービスが多いのも大きな違いです。
このように、開発者向けのセキュリティSaaSは脆弱性の発見だけでなく脆弱性の修正を日常的な開発プロセスに組み込みやすくしていることが大きな特徴です。
■ ユースケースの違い
結論から言うと、SaaSの利用者として開発者が想定されているかが大きな違いです。
従来のセキュリティSaaSの主な利用者は、セキュリティの専門家です。それは、セキュリティに関する業務は一部の専門チームが担当しており、その他の開発者は関与していないという組織が今でも少なくないからです。
そのため、SaaSを利用してセキュリティの問題に対処するには専門的なセキュリティ知識を前提とする傾向にあり、「機能の違い」の項目で説明したようなセキュリティの管理者向けの機能は、開発者が十分に使いこなせないことがあります。
一方で、開発者向けのセキュリティSaaSの利用者はソフトウェアの開発者が中心になり、セキュリティの専門家はそのサービスの管理やプロジェクトの推進を担うといった役割分担がなされます。利用者として開発者が前提になっているため、これらのSaaSはセキュリティの知識を前提にしていないものも多いです。
■セールスフローの違い
Datadogなどの開発者向けSaaSに投資しているOpenViewの”The Developer-Focused Go-to-Market Playbook”では、伝統的なSaaSと開発者向けSaaSの購買ファネルの違いを上図のように定義しています。セキュリティ領域のSaaSでも、同様のファネルができていると考えられます。
従来のセキュリティSaaSは、一般的なBtoB SaaSのように、サービスについて問い合わせた後にセールスとの商談が始まり、実際に業務に適用できるのかを検証するPoCを組織のマネージャーが始めるといったフローが取られます。そのため、普段用いるオープンソースソフトウェアを試すように、「開発者が必要なタイミングですぐに試す」ということが難しいです。
一方で、開発者向けのセキュリティSaaSは、オンラインで利用開始手続きをしたらすぐに主要な機能が使えるような形態が取られることが多く、開発現場でセキュリティ課題を解決したいと思ったときにすぐに試せるという特徴があります。そもそも無料で使えるオープンソースのソフトウェアをベースにしたプロダクトやサービスも多いため、結果としてこのようなPLG(Product Led Growth)に近い戦略*2が採用されることが多いです。
開発者向けのセキュリティSaaSの市場
ここまで、開発者向けのセキュリティSaaSが生まれた背景と特徴について説明してきました。このセクションではそのSaaSの市場のインパクトの圧倒的な大きさについてご紹介します。
急成長する、開発・運用プロセスのセキュリティ市場
開発者向けセキュリティSaaSの事業領域が注目されている理由の1つは、それらを取り巻く開発・運用プロセスのセキュリティ市場であるDevSecOps市場の急成長が背景にあります。
このDevSecOpsという言葉は、セキュリティ業界外の方には耳慣れないかもしれません。DevSecOpsは、開発、セキュリティ、運用を組み合わせたソフトウェア開発の手法で、下の図のようにソフトウェアの開発(DEVの部分)・運用(OPSの部分)のプロセス全体にセキュリティ(SEC)の観点を取り入れる手法を指します。
そして、このDevSecOps市場の推定は様々ですが、一例としてGlobal Industry Analysts, Incのレポートでは2020年時点においてグローバルで2.9億ドルの市場規模とされており、2020年から2027年の間にCAGR(年平均成長率) 33.1%で成長した結果、年間21.3億ドル(≒3兆円)の市場規模になることが推計されています。
具体的にこの市場に位置する有名企業の例では、GitHubやGitLab などの開発コラボレーションプラットフォームや、開発者には馴染みあるHashiCorpなどの企業があり、監視サービスのDatadogなど評価額が2兆円を超える企業も存在しています。
セキュリティ市場全体が「開発者向け」に急速にシフトしている
上はBattery Venturesが作成した、代表的なセキュリティSaaSスタックのマップです。
この中でも、開発者向けセキュリティSaaSの展開をしてこなかったプレイヤーが開発者向けのセキュリティの領域に参入し始めたり、逆に開発者向けのセキュリティ領域のプレイヤーがアプリケーション以外の領域カバレッジを広げるなど、セキュリティ市場全体が「開発者向け」に急速にシフトしています。
例えば、上のマップに載っているプレイヤーの中で例を挙げると、
Aqua Securityは、様々な脆弱性のスキャン機能を備えるOSSのTrivyに力を入れており、GitHub内のセキュリティツールの中でも最も人気なツールの1つになっています*3。更には他のスキャン機能を備えるOSSを複数買収してTrivyに統合することで、スキャンできる対象のカバレッジを広げています。
時価総額約7兆円を超えるPaloalto Networksは、複数の開発者向けセキュリティSaaSを買収し、Prismaシリーズに統合を進めています。直近ではクラウドセキュリティを中心に展開するBridgecrewや、先日11月18日にはCI/CDパイプラインを対象にしたCiderなどを買収しています。
開発者向けのセキュリティSaaSの雄であるSnykは、アプリケーションセキュリティからそのカバレッジをインフラストラクチャの領域まで伸ばしています。具体的には、2021年末以降にCloudSkiffやFugueなど、新興のクラウドセキュリティのプレイヤーを買収し、プロダクトの統合を進めています。
などの動きからも、この市場の大きな転換点を垣間見ることができます。また、開発者向けのセキュリティプラットフォームを展開するSnyk自体も、2015年の創業から6年を経た2021年の資金調達では日本円で1兆円を超える評価額での調達をしており、その大きさからも成長への期待値を感じ取ることができます。
そして、上の引用元であるBattery Venturesの記事ではセキュリティ市場の予測として、マップで示された4つのカテゴリーのそれぞれで今後時価総額1,000億ドル(約14兆円)を超える巨大な企業が誕生するという考えがなされています。
このように、この開発者向けのセキュリティという市場においてはすでに1兆円企業が生まれており、これらからも更なる1兆円以上のインパクトのある事業が生まれる可能性がある市場だと強く感じます。
そして、プロダクトを開発し、提供するまでのプロセスが多様になってきているからこそ、拡大する攻撃対象領域に対して、都度問題を検知し修復するだけでなく、それらをセキュリティポリシーに従って統制をきかせて安全を担保するという領域が生まれてきているのも新たなポイントです。
また、このように様々な領域で開発者向けセキュリティSaaSが生まれる中で、私たちFlatt Securityが注目しているのはマップの”Governance & Compliance”に示される領域です。監査やコンプライアンス遵守は重要視されることが多い一方、開発者目線での課題を解決しているところはまだ多くありません。そのため、私たちは開発者が使うツールやインフラなどに、よりガバナンスを適用させるためのサービスも今後大きく発展していくだろうと考えています*4。
ソフトウェア開発を支えるSaaSは、不況下も成長している
上図は、売上高10億ドル以上のソフトウェア企業の数の成長 (右のグラフ)と、その中での評価額のマルチプルの高い企業のランキング(左の表)をそれぞれ示したものです*5。
この左のランキングのうち、ZoominfoとBill.comを除く全ての企業が、ソフトウェア開発のインフラ、あるいはセキュリティのインフラになっているSaaSを提供している企業です。
これらのセキュリティ領域のSaaSや開発者ツールは「あれば良い」ものではなく、ソフトウェア企業のワークフローに深く入り込んだ「無くてはならない」ものとして成長しているものと感じます。そのため、ARR(年間経常収益)の伸びは衰えず、この不況下においてもRule of 40*6を満たす成長と収益性を維持することができているのではないでしょうか。
さらに、このマクロ環境に対して、AWSやAzure、GCPといったクラウドベンダーの成長率は依然として高水準(2022年Q2でARR+37%)を保っているという事実もあります。クラウドセキュリティ分野のSaaSはこの利用拡大に伴ってニーズが高まるため、同様に力強く成長していくことが引き続き予見されます。
このように「セキュリティ領域のSaaS」かつ「開発者ツール」でもある開発者向けのセキュリティSaaSは、ソフトウェア開発のインフラであり、安定した成長を継続できるポテンシャルを秘めている市場だと感じます。
開発者向けのセキュリティSaaSの面白さ
開発者向けのセキュリティSaaSのポテンシャルや市場の成長性について説明してきましたが、ここからは実際に日々事業として運営する中で面白いと感じている2つのポイントについて紹介したいと思います。
グローバルGo-To-Marketのポテンシャルの高さ
まず、最も面白いと感じるのは、グローバルな市場展開の可能性の高さです。世界中の開発者に対して共通のサービスを提供できるため、開発者向けのSaaSはグローバルサービスを生み出せるポテンシャルの高い市場の1つです。
そう考える理由は、世界各国で開発者が利用するプラットフォームにはそこまで大きな差がなく、開発プロセスやセキュリティの課題の多くが共通していると感じるからです。例えば、開発のコラボレーションにはGitHubを用い、GitHub ActionsなどのCIを用いて、AWSやGCPといったパブリッククラウドにデプロイする……といった一般的な開発ワークフローを採用している開発者が世界中にいることは想像に難くありません。
現に、先程紹介したTrivyは日本の開発者の方が開発したソフトウェアでもあります。オープンソースソフトウェアという観点で言えばRubyも日本から生まれて世界中で使われるようになったプロジェクトでした。
実際、過去Flatt Secruityでも新規のセキュリティSaaSをテスト公開した際、事前登録があった企業は北アメリカ地域だけでなく、アフリカからEU地域の企業まで、企業規模も問わず様々でした。
しかし裏を返せば、国内でSaaSを公開した場合も、開発者にとっては世界中のSaaSが競合の選択肢になりえます。たとえば、開発者向けのSaaSを公開した際に、既に同じ領域でAWS製品が展開されているというケースも少なくありません*7。
これは開発者向けSaaSの事業を展開する難しさでもあり、面白さでもあると私は感じています。
従来のセキュリティSaaSのビジネスモデルの「矛盾」を無くせる
最後に、開発者向けのセキュリティSaaS特有の面白さだと思うのは、従来のセキュリティサービスのビジネスモデルの「矛盾」を無くせる点です。
そもそもSaaSというビジネスモデルでは、クライアントの満足度が高ければサブスクリプションの解約率が下がるため、高い品質のサービスを提供し続けられれば自然と売上が積み上がっていくという構造の「矛盾のないビジネスモデル」と言われることがあります。
しかし、従来のセキュリティSaaSには「矛盾がある」構造がありました。これは、エンドユーザーである開発者の開発体験の低さと管理者の満足度が連動しない「矛盾」であったり、セキュリティSaaSの実際の導入成果と解約率が結びつかない「矛盾」です。この矛盾が成立してしまう背景には、導入すること自体を目的化してしまったり、評価するための知識がないまま導入してしまったりすることが起こっていたからでした。
しかし、ここまで説明してきたように、今は実際にサービスを享受する開発者が購買者になりつつあります。そして現代の開発チームでは、全てマネージャーが技術選定や意思決定するのではなく、プロフェッショナルな現場の開発メンバーが使う技術やツールを選定するといったケースも少なくありません(上図はそのようなソフトウェア購買プロセスの変遷を示しています)。つまり、「開発者のソフトウェア開発プロセスの改善にどれだけ貢献できたか」がセキュリティSaaSのビジネスにおいても本当に重要になってきたのです。
また、セールスフローとしても「とりあえず試す」モデルが採用されることも多いため、実際に使う開発者にとって良いサービスでなかったり使われなくなってしまったりすると、そもそも採用されることはありません。
そのため、開発者向けのセキュリティSaaS事業を成長させるためには、エンドユーザーである開発者に対して良いサービスをつくり続ける必要がある、という矛盾のない健全なフィードバックサイクルが働いているのです。
まだまだ「矛盾のある」日本のセキュリティ市場
しかし、日本ではまだまだこのようにセキュリティSaaSを開発者向けに展開するためには課題があります。それは、ソフトウェア開発を下請けする企業が多く、内製の開発チームを持っていない企業が多いという点です。そのため、日本のマーケットではまだまだ開発者向けのサービスが普及し始めているとは言い難いです。
一方で、業務やサービスをDXしていく流れを受けて、エンタープライズ企業においても開発の内製化が急速に進んでいることは、私たちがサービスを提供する中でも日々感じています。また、ソフトウェア開発を内製化しているベンチャー企業の増加も、国内のソフトウェア開発の技術力をリードする一因になっていると実感しています。
私たちはこのようにソフトウェア開発者の力がより強くなっていくことで、国外市場だけでなく日本でも「開発者向けのセキュリティ」の潮流が加速するという未来に賭けています。
おわりに: 事業をつくりたい方を積極採用中です!
- セキュリティ業務は、従来はセキュリティの専門家のためのものであったが、開発者が責務を持つようになりつつある。
- セキュリティSaaSは「開発者向けのセキュリティ」という新たなユースケースを捉えることで急速に拡大している一方で、インフラとしての安定性もある。
- 開発者向けのセキュリティSaaSの面白さは、グローバル市場へのポテンシャルが高く、矛盾のないビジネスモデルを取れる点である。
といった市場のトレンドを理解していただけたかと思います。一方で、セキュリティのSaaSやサービスを明確に開発者向けとして打ち出している国内の会社はまだ限られています。
そのため、Flatt Securityでは開発者向けというアングルでセキュリティの市場を捉えることで、大きな市場トレンドに位置できるだけでなく、サービスのエンドユーザーである開発者とともにより良いサービスを作っていける稀有なポジションにいます。
Flatt Securityで展開しているSaaSであるShisho CloudやKENROでこれらの開発者向けセキュリティSaaSの考え方を汲んでいるのはもちろんですが、セキュリティ診断でもこの考え方は共通しています。単純に脆弱性を見つけるための技術が高いという評価だけでなく、開発者が脆弱性を修正しやすいような検証コードの提供であったり、開発者がセキュリティに向き合う体験の向上を強く意識することで、今までとは異なったアングルでのサービス提供をしています。
そして、Flatt Securityでは、この開発者向けセキュリティの事業を自分の手でつくってみたい!という方を募集しています。現在はエンジニアの職種だけでなく、セールスや事業開発のポジションも募集をしています。特に、元々エンジニアでこの領域に課題を感じており、ビジネスサイドにチャレンジしたいという方とぜひ一緒に事業をつくっていきたいです。募集中の職種や詳しい条件等は採用ページをご覧ください。
カジュアル面談も受け付けておりますので、TwitterのDMやお問い合わせフォームなどからもぜひお声がけください。
最後までお読みいただき、ありがとうございました!
*1:開発者向けのSaaSか否かを明確に区別することは難しく、個々のサービスによってこれらの特徴の強弱は異なりますが、このセクションでは大まかな対比として分かるような整理をしています。
*2:マーケティングや営業活動に相当する機能をプロダクト内に取り込み、事業を拡大させる事業モデルのことです。ここでは、無料で使えるオープンソースソフトウェアというフリーミアムのようなビジネスモデルのプロダクトに対して、有料版であるSaaSをサービス展開するというビジネスモデルを類推しています。
*3:GitHub内の “security-tools”や”devsecops”のトピックがつけられたリポジトリの中で、最もスター(保存機能)をつけられています(2022年11月末時点)。
*4:Flatt Securityは、セキュリティポリシーをコードで記述・管理するPolicy-as-Codeのアプローチから、セキュリティ対策の半自動化を実現する開発者向けのセキュリティプラットフォーム「Shisho Cloud」を開発・提供することで、この課題の解決に取り組んでいます。
*5:レポートによれば、これらは2022/10/25のCapital IQがソースの数値です。
*6:Battery Venturesが提唱した、企業の売上高の成長率 + 営業利益率の値が40%を超えるかどうかを見ることで、SaaS企業の"成長性"と"収益性"を総合評価するための指標。ここでは年間の売上成長率とFCFマージンの合計値を指しています。
*7:セキュリティ関連のカテゴリだけでも、記事執筆時点では20サービス存在しているようです。
