Snyk: ソフトウェア開発の番犬

本寄稿では、Snyk（読みはスニーク）というセキュリティSaaS企業が急成長した要因となるGTM（Go-to-Market）戦略を考察するものです。2015年に創業されたSnykは、未上場のセキュリティSaaS企業の中では2番目に累計調達金額が大きいスタートアップです（Cybersecurity Market Review Q3 2022より）。 直近の調達ラウンドである2022年12月のSeries Gでは、評価額$7.2Bでの調達を行い累計調達額が$1Bに到達するなど、いわゆるハイパーグロースを続けているスタートアップ企業のひとつです。

ここ最近の日本のSaaS界隈では、セキュリティSaaSスタートアップのWizが創業わずか18ヶ月でARR $100Mに到達したことで注目されていました。しかしこれはあくまでもレアケースで、日本のSaaSシーンではセキュリティ領域の複雑さも相まって、セキュリティSaaS市場の話題、とりわけそのGTM戦略の話はあまり話題に上がらない印象です。

そこでこの記事ではセキュリティSaaSのGTM戦略としてSnykの事例をご紹介することで、急成長するセキュリティSaaS市場の面白さの一端をｺｯｶﾗSaaS読者の皆さまにお伝えできればと思います。

まずはSnykの事業が生まれた背景や市場でのポジショニングを紹介した上で、Snykが苦心してつくりあげたPLG （Product Led Growth）に焦点を当て、急成長を支えたGTM戦略について考察していきます。

Snykは、2015年にGuy Podjarny （以下Guypo）、Assaf Hefetz、Danny Granderの3人によってロンドンとイスラエルの2拠点で設立され、設立当初から一貫したコンセプトのSaaSとして開発されています。

Snykのコンセプトを一言で説明すると、開発者向けのセキュリティSaaSです。では開発者向けではないセキュリティSaaSとは何なのかという話になりますが、簡単に説明すると以下の画像のようなコンセプトの違いだと筆者は考えています。

アプリケーションのセキュリティを取り巻くステークホルダーを大きく括ると、アプリケーションを含め全社のセキュリティを管理する「セキュリティ管理者」と現場でアプリケーションの開発を行う「開発者」の二者が存在します。

前者のセキュリティ管理者のニーズは、全社のセキュリティを管理することです。そのため、アプリケーションを含めた全てのセキュリティ課題を俯瞰したり、問題の対応状況がどうなっているかを管理して統制を効かせることにニーズがあります。

一方で、後者の開発者のニーズは、普段の開発業務で生じるセキュリティの問題を簡単に修正できるところにあります。忙しい普段の開発と並行して、自分の詳しくないセキュリティの問題を修正する行為はただでさえ大変だからです。具体的なSaaSの機能としては、開発者が普段使うGitHubやコードエディタ上で動く方が望ましく、セキュリティの専門知識がないエンジニアにとっても問題を修正できることが求められます。

※このような開発者向けのセキュリティ市場の考察は、この記事でもう少し詳しく紹介しています。ご興味のある方はご覧ください。

そしてSnykにおいては、この「開発者向け」というコンセプトを元に以下のような複数のカテゴリのSaaSを展開しています。分かりやすく言えば、一人の開発者が開発業務をおこなう上でセキュリティで困る領域をおさえたようなラインナップになっています。

この中でも中心になるのはApplication securityの領域で、アプリケーションと依存関係にある外部のオープンソースソフトウェア（以下、OSS）の既知の脆弱性をチェックするSnyk Open Sourceや、ソースコード中の脆弱性を見つけるSnyk Codeなどが含まれます。

読者の中には「アプリケーションが外部のOSSと依存関係にある」というイメージに馴染みが無い方も多いかもしれませんが、このイメージとしては製造業のサプライチェーンのように、製品の一部品として外部から調達したパーツ（OSS）が使われるような感覚を想像すると分かりやすいかもしれません。

このとき、製品を構成する一部の部品に重大な欠陥があれば、製品全体としても欠陥を持ってしまいます。そのため、外部から調達するOSSが古く脆弱でないか、最新の安全なものにアップデート可能かなどをチェックする必要があるのです。

また、これらのプロダクトの他にもAWSやGCPなどのクラウドの脆弱な設定を修正するためのプロダクト（Snyk IaCやSnyk Cloud）も展開し始めています。

Snykの「開発者向け」という一貫したコンセプトを語る上で欠かせないのが、創業者であるGuypoのソフトウェア開発者としてのバックグラウンドです。

彼は2002年に企業に所属する開発者として最初のキャリアをスタートし、Webアプリケーションのセキュリティ診断ツールであるAppScanの開発をしていました。この製品は、Webアプリケーションの脆弱性の検出を行い、脆弱性の箇所と修正に関する情報をセキュリティ管理者向けに提供するツールでした。

しかし、これはあくまでもセキュリティチーム向けのツールです。そのためGuypoは、実際にアプリケーションを開発している開発者がセキュリティの問題に参加できていないことに課題を感じていました。そこで、AppScanの成功体験を活かして、ラインナップにDeveloper Editionという開発者向けのプロダクトを追加しましたが、これはただ開発環境に組み込んだだけのツールだったこともあり、開発者には受け入れられませんでした。

その後Guypoはセキュリティ領域から離れ、Webパフォーマンス分野のスタートアップであるBlaze.ioを2010年にCTOとして創業しました。同社をAkamaiに売却してからも2015に至るまでは部門のCTOとして在籍していました。その中で、Guypoは世の中の開発プロセスの変化を感じるようになります。

それは、年々コードを書いてから製品をリリースするまでの開発サイクルを高速にするSaaSや組織体制が構築されているにも関わらず、セキュリティだけは様々な理由で開発プロセスから取り残されており、高速化のボトルネックになっているということでした。

このようにセキュリティツールを長年開発していたGuypoの経験とCTOとして体感した経験が交差し、「開発者自身が開発者プロセスの中に自然とセキュリティのプロセスを組み込むためのセキュリティSaaS」というアイディアが生まれることになりました。

2015年、Snykは最初のプロダクトをリリースします。

”Web Security For Developers”とだけ書かれたランディングページを更新してリリースしたのは、後のSnyk Open SourceとなるSaaSで、この時点でも依存関係にある外部のOSSの既知の脆弱性を発見し修正するという既に現在の主要な機能を有したものでした。これは、Software Composition Analysisと呼ばれる当時のセキュリティのツールとしてはマイナーなカテゴリのSaaSであり、しかも当時ではまだ主流とはいえないNode.jsのエコシステムに対象を絞ってリリースしていました。

これだけ聞くとかなりニッチな領域のSaaSのように思いますが、これはかなり意図的でした。その意図は大きく2つあります。

まず1つは、2015年当時のNode.jsのコミュニティはインナーサークルに入ることができる「大きすぎず小さすぎない」サイズのコミュニティだったからです。つまり、まだコミュニティが成長途中であり、大きなカンファレンスに参加することで発言権を持つインフルエンサーと直接接点を持つことができ、コミュニティに広げる機会を得やすかったのです。もう1つは、Node.jsのエコシステムにおけるOSSの依存関係管理には課題が顕在化していたからです。セキュリティツールとしては当時マイナーなカテゴリでしたが、開発者にとっては影響を実感しやすい領域の1つでした。

このように、市場獲得という観点よりはどのコミュニティに刺さるかを重視していたことが伝わります。つまり、セキュリティ市場での顧客獲得を目指すのではなく、まずは開発者にとって便利で「イケてる」プロダクトであることを目指したのです。

実際にこの戦略は功を奏し、リリース前にはPaypalやebayといったテック企業からNew York Timesといった老舗企業まで幅広い業界においてエンジニアの利用実績を獲得。満を持してエンジニア向けのカンファレンスでリリースを発表することができました。当時のリリースの様子はブログに現在も残っています。

その後は、開発者がスムーズに修正パッチを当てられるようにGitHubとの機能連携を強化し、パッチの内容をチームで簡単にレビュー/適用できる機能がヒット。また、有名なOSSでもSnykが利用されることで瞬く間に認知が広がり、ユーザーの獲得に成功しました。

このように開発者向けの「イケてる」プロダクトの実現により急成長したSnykなのでした。めでたしめでたし…と順調にはいかず、そのユーザー数の増加や積極的なアクションの一方で売上は芳しくありませんでした。インタビューによると、リリースから2年を経た2017年夏に至っても、ARRはわずか$0.1M（≒1300万円）でした。

なぜユーザー数に対してARRが伸び悩んだのか。その理由は簡単で、無料でリリースされたβ版のユーザーは何万人もいた一方で、チーム利用のための有料版は月額100ドルに満たないにも関わらずほとんど登録されなかったからです。

しかもこれは、リリース直後のNode.js向けの機能対応以降、RubyやJava、Python…など次々とSnykが利用できるコミュニティの層を広げるための機能を開発したにもかかわらず、です。

開発者向けのSaaSマーケティングにおいて、開発者は「ただ試してみたいから登録し、興味を持ったらチームですぐに展開する習性がある」ともよく言われますが、ただ使ってみたいユーザーがチームで利用するまでにはハードルがあります。

具体的にSnykの場合は、

• 開発者の個人利用というユースケースにフォーカスしすぎていたため、チーム向けの管理画面など有料で利用するための魅力的なコア機能がなかった。

• 試しに登録した開発者が、実際にチームで導入するための権限を持っている可能性が低かった。たとえば開発者個人が、チームで開発するソースコードの閲覧権限をSnykに与えられない場合、チームでの利用を試することが難しい。

といった他の開発者向けSaaSとも異なる、セキュリティSaaSならではのハードルがあったのではないかと思います。

しかし、このユーザー数の伸び悩みを反省したのか、2017年の秋には組織横断の管理画面やシングルサインオン（SSO）対応などのエンタープライズ向けの機能をリリース。これを通じて決裁者となる開発者へのリーチを強化することでこの問題に終止符を打ち、成長の足がかりをつくることができました。逆に言えば、リリースから2年後のこの段階まで個人向けのユースケースを拡大していた一方で、組織でのユースケースに必要な機能がなかったといえます。これは、SaaSとしてかなり珍しいレベルと言えるのではないでしょうか。

Snykは初期のGTM戦略の見直し後にいくつかの転換点を迎え、順調なトラクションを生んでいきました。

1つは2019年10月のシリーズBのタイミングです。シードから投資していたVCのBoldstartから名門VCのAccelにリード投資家が変わり、その頃のユーザー数は約30万に増加。さらにGuypoはAppScan開発時代の会社の上司（CEO）でもあったPeter McKayにCEOの座を譲り、会社としてもガラッと新たなフェーズを迎えました。

もう1つの成長の転換点は、調達資金を元手にした2020年以降のプロダクトライン拡充のためのM&Aです。特にプロダクトに大きく影響しているのは、2020年に買収したソースコード静的解析ツールのDeepCodeと、2022年に買収したクラウドセキュリティのFugueです。それぞれ、後にSnyk CodeとSnyk CloudとしてSnykのプロダクト群に統合されました。

両者ともに開発者向けのSaaSを提供している特徴的な企業で、同一カテゴリのスタートアップが数ある中でも、Snykのプロダクトや開発者向けのコンセプトとかなり親和性の高いチームやプロダクトを買収していったことがうかがえます。

DeepCodeはチューリッヒ工科大学からスピンオフしたスタートアップで、機械学習をベースにしたコードレビューのSaaSを展開しており、「Grammarly for Coders」を銘打つだけあって、GitHubと連携するだけで簡単にコードレビューの機能が使えることが特徴でした。

FugueはクラウドのコンプライアンスチェックのSaaSを展開しており、直近の数年は開発者向けのUXやポリシーベースでの拡張性を売りにしていたスタートアップです。Fugueは累計調達額が$85Mを超えていたことからも、買収時に話題になっていました。

このような転換点を経て、プロダクトのポートフォリオも拡充し、2021年にはついにSaaS企業のマイルストーンであるARR $100Mに到達。2022年にはARR $150M規模に成長しています（ARRの数値はインタビュー記事より）。

さて、大きなマイルストーンを経て1つのカテゴリーを創出できたといえるSnykですが、もちろん単にプロダクトのラインナップを増やすだけで売上がつくれたと

言えないのがSaaSビジネスです。そこでSnykが成長した背景にあるのは、初期から一貫してチャレンジしているPLG戦略にあると筆者は考えています。

この後のセクションでは、SnykがどのようにPLGを軸にしたGTM戦略を成立させていったのかを考察していきます。

PLGを成立させるためには、まずプロダクトが使われなければならず、そして使われるためにはプロダクトへの認知が必要です。

Snykの場合は創業当初から様々なエンジニアコミュニティへ参加することに加え、2019年にはセキュリティコミュニティのDevSecConを買収するほど、認知向上にコミュニティを活用しています。しかし、それに勝るほどに注力しているのはSEOだと筆者は考えます。

Snykを検索で直接認知させるためのSEOは難易度が高いです。なぜなら、Snykをソリューションとして括る際のカテゴリである「Application Security」や「Cloud Security」を検索して表示されたときの多くは、セキュリティ管理者向けのセキュリティSaaSの話題であり、開発者は「自分の探したいものは検索結果にない」と感じてしまうからです。

では、どのようにSEOでプロダクトを認知させているのでしょうか。その答えは、セキュリティにとどまらず、エンジニアが必要な状況を提供することでした。

その代表例は、Snyk AdvisorというWebサービスです。このWebサービスはOSSに対して「ちゃんと更新性があるかどうか」「使っているユーザーがいるかどうか」「既知のセキュリティの問題はないか」などの情報を自動的に収集し、ヘルススコアを算出するものです。開発者が自社の製品で新しいOSSを採用するときには、そのOSSに問題がないかは必ず調べることになるので、単なるトラフィック獲得目的以上に、開発者に有用なページになっています。

また、プロダクトリリース初期から蓄えているSnykの脆弱性データベースや、DeepCodeのエンジンを元にしたコードサンプルのまとめサイトなど、上げればキリがないほどこのようなサイドプロダクトやSEO目的のコンテンツが作成されています。フッターのResourcesやSecuirtyの欄を見ると、その圧倒的なサイドプロダクトやコンテンツの量の片鱗が分かります。実際にsnyk.ioのトラフィックの約8割は検索流入であると推定されることからも、認知施策でのSEOの注力度の大きさを伺えます（推定値はSimilarWebより。2023年1月25日現在）。

とはいえGitの使い方に関する初歩的なブログ記事など、明らかに関連性が低い内容もあったりはするので、コンテンツの方向性に関しては諸説ありそうです。しかしそれを踏まえても、エンジニアが欲しい情報を揃えるための気合がすごいと感じるばかりです。

ｺｯｶﾗSaaSのZendeskの記事でも触れられているように、PLGといえばエンタープライズ獲得が難しいというのが定説です。その理由はいくつかありますが、プロダクトを少し試しただけではエンタープライズでのユースケースを検証できないから、というのが大きな理由だと思います。また、PLGでの獲得は基本的にはインバウンドをベースに想定することが多いので、数が限られているエンタープライズ顧客だけを狙って獲得する難易度は高いです。

ではインバウンドでのエンタープライズ獲得を実際にどうやっているのでしょうか。それを表したのが上の図です。

ポイントとしては、

• 誰でも個人で無料ユーザーとして登録できるが、営業チームはその個人アカウントをまとめて企業ごとに管理する。

• その会社の有料で使っているチーム、無料枠など利用上限に達したチームなどの情報をまとめた上で、意思決定者にアプローチする。

といった点です。

通常のSaaSであれば、ただ試そうとしただけの開発者に対して直接営業のコールがバンバン飛んでくる…といったこともありそうですが、開発者を対象にしたサービスでは特にこのようなセールスは嫌われるので、行うことはあまりありません。そのような手段を取った場合、その日からコミュニティでの評判が下がることは間違いないと思います。Snykは、逆に上手く開発者とセールスの距離をとりつつ、決裁者にリーチする方法を模索しているのです。

また、2022年までの同社の2,000社の顧客のうち、70%は製品購入をする前にSnykのユーザーを開発チームに抱えていたという興味深いファクトもあり、大量にユーザーを抱えることができたSnykだからこそ実現できたアプローチともいえるでしょう。

ちなみに、Snykのパートナーページを見る限り、リセラーは43社と数多くいるものの、SIのパートナーは1社。つまり、Snykを開発プロセスに組み込むためのエコシステムの成熟はまだこれからだといえます。あくまでもインバウンドを軸にした顧客獲得をしている同社ですが、今後のARR拡大に向けてチャネルをどう拡大していくのかに注目しています。

一般的な開発者向けのSaaSの特徴の1つに、国や地域に依存した課題解決が少ないということがあります。もちろんコミュニティへの参加や商習慣の最適化のために拠点をつくることはありますが、どの国も開発にはGitHubやAWSを使うといったプラットフォームは共通していることが多く、開発における課題の多くは共通です。英語で公開していれば日本以外は言語の問題もさほど問題になりません。（ちなみにSnykの公式サイトにもJapanese Siteだけは存在しています。）

それ故に、特定の国に進出するという考え方ではなく、Day1からグローバルを前提に考えることは合理的です。特にSnykはその考えが顕著で、設立当初からテルアビブ、ロンドンの2拠点でスタートし、その後の早い段階でオタワとボストンに拠点を構えました。

そして、拠点を持つどの国においても、セールスをベースに積極的にセールスが売りに行くモデルを取らず、あくまでも現地のコミュニティに働きかけて、インバウンドをベースに獲得していく戦略をとっているのがSnykのグローバルでのGTM戦略のポイントです。

実際にSnykは2022年より日本市場でもマーケティングを開始しましたが、アドベントカレンダーの実施や技術カンファレンスへの協賛など、コミュニティへのアプローチを中心に行っているように見えます。

グローバルのGTM戦略においても、あくまでもインバウンドにこだわるPLGでどこまで成長できるかもｺｯｶﾗｯｽといえるポイントだと感じてます。

ここまでSnykが苦心して構築したPLGの紹介をしてきましたが、ここからは筆者が考える今後のGTMの課題ついて考察します。

一つ目は、プロダクトのカバレッジの拡大の難しさです。最初の「セキュリティ管理者向け」と「開発者向け」の違いの説明でも触れたように、開発者向けのセキュリティSaaSは、カバレッジよりも修正の容易さや使い勝手の良さが重視されます。しかし、顧客ごとのACVを上げるという観点では取りうる市場を広げざるを得ないため、このカバレッジ拡大の問題には必ず直面すると思います。

現状は、Snykの創業事業のソフトウェアサプライチェーン領域は対象領域が広く、クラウドセキュリティ領域は2022年に買収して展開し始めたばかりのため、まだまだここからとは言える領域ではあります。その一方で、M&Aによる拡大が中心となっているものの、例えばセキュリティSaaSとしての競合であるPalo Alto Networksは、BridgecrewやCiderなどの開発者向けセキュリティSaaSを直近で多く買収しており、カバレッジで見た時の競合優位性も失われていく可能性があります。

もう1つは、エンタープライズ獲得の難易度の高さです。現状はインバウンドに依存したチャネル構築をしていますが、それだけでは取り切れない顧客層は多いと思います。

たとえばSnykの同領域の競合サービスとして、GitHubやGitLabなどがありますが、これらはただセキュリティだけでなくデプロイツールやビルドツールなど他の開発ツールも包括して提供している上、導入におけるプロフェッショナルサービスも提供しているSaaSです。そのため、Whole Productを求めるエンタープライズ顧客にとってはかなり魅力的なオプションになります。

また、冒頭で紹介した急成長を遂げているクラウドセキュリティSaaSのWizは “Know your cloud better than devs.”（開発者よりもクラウドを知る）という初期のLPのフレーズの通り、Snykとは真逆の「開発者向けでない」GTM戦略が功を奏し、エンタープライズの獲得ができている企業でもあり、Snykが取りきれてない顧客層を明確に取りに来ています。

先日1/24にServiceNowと資本提携を行い、ServiceNowの脆弱性管理ソリューションへの機能提供が公表されましたが、これもこのような取り切れていないエンタープライズの顧客層に向けた打ち手の1つだといえるでしょう。

このように、PLGを軸に成長するSnykの成長は「開発者のためのイケてるプロダクト」がどこまで成長できるかを試しているかのように見えます。マクロでは成長し続けるセキュリティ市場の中で、今後もPLGで非線形な成長を生み続けられるか注視したいところです。

ここまで、Snykの紹介からそのGTM戦略の分析、最後に今後の展開についての考察を書いてみました。

SnykのGTM戦略はPLGが軸になっており、SEOやアカウントベースでのセールス、グローバル展開などを複合的に組み合わせていることが面白いポイントだと思います。ここまでの成果を見るに、SaaSにおけるPLGの1つの成功例だと言えるので、参考にできる点は多いのではないでしょうか。今後のエンタープライズ獲得の戦略や機能カバレッジの拡大についてはｺｯｶﾗと言える点も見えるので、今後の展開についても注目です。

最後に宣伝です。筆者が所属するFlatt Securityというスタートアップでは、こういった開発者向けのセキュリティSaaSという市場でSnykに負けない事業をつくっています。記事を読んでこのようなセキュリティ領域の事業開発に興味をお持ちの方がいらっしゃいましたら、ぜひTwitterのDMなどでお声がけください。

ここまでお読みいただき、ありがとうございました。