※このストーリーは、2024年9月3日に Assured note で公開した記事を転載したものです。

こんにちは。Assuredプロダクト責任者の鈴木です。

Assuredは2022年1月の正式ローンチから2年半が経ちました。おかげさまでグループ利用含めて500社以上の企業様にご導入いただき、日本を代表する大手企業様の利用も広がっています。セキュリティの業界内では少しづつ認知をされるようになってきた一方で、世の中的には「サイバーセキュリティ」というと馴染みがなく、自分には関係ない、と思われる方が大半ではないでしょうか。

そこで今回は、私からみた挑戦環境としてのサイバーセキュリティ市場の可能性、面白さについてお伝えさせてください。

SaaS市場の興りと環境の変化

IT領域で事業づくりに挑戦したいと思ったときに思いつくのは、SaaS領域ではないでしょうか。近年、日本でもSaaSスタートアップが多く生まれていますが、その環境はこの数年で大きく変化しています。

元を辿ると、「SaaS」という言葉自体は2006年頃から使われるようになったと言われています。それから18年が経過した今、世界には1万社以上のSaaS企業が存在し、国内だけでも市場規模は1.4兆円、2027年には2兆円を超えると予想されています( *1)。こうしたSaaSの隆盛の背景には、新たなサービスをつくることが容易になってきている状況があります。

そもそもSaaSという業態は、標準的なプロダクトによって業務を再構築し、継続的な契約による安定性の高いビジネスを構築することを狙ったものです。そうしたなか、例えばビジネスの側面では、The Model（ザ・モデル）という営業の”型”が提唱されるなど、様々なナレッジが蓄積され、ビジネスを再現性高く組み立てやすい環境が整ってきています。

またプロダクト観点でも、例えばSaaSでよく見られるパーツを集めたデザインシステムは、Googleが作ったMaterial Designをはじめ、オープンソースのライブラリはいくつも登場していますし、すでに定番となったGoogle CloudやAWSはもちろん、SupabaseやVercelなど、より簡単にインフラを構築するためのプラットフォームも充実してきています。さらに、例えば決済機能であればStripe、認証機能であればAuth0など、個別機能のためのSaaSを組み合わせることで「SaaSっぽい」ものは簡単につくれるようになりました。

これらに限らず、ノーコードやAIによって生産性が劇的に向上しているため、大きな資本を集めずともSaaSビジネスを容易に始められるようになったといえます。誰もが簡単にSaaSプロダクトをつくれるようになったことで、小さい企業で小さく成功させるか、資金力を糧に大きく複雑にして他社に真似できないものをつくるかという、両極化が進んでいるのではないでしょうか。

*1: https://onecapital.jp/perspectives/japan-saas-insights-2024

SaaSスタートアップにおける世代の移り変わり

このようにSaaSスタートアップを取り巻く環境が大きく変化してきたなかで、日本国内におけるSaaS市場は第1〜3世代に分類できると言われています。
世代の捉え方はスタートアップ業界の方々が様々な切り口で提唱されていらっしゃるので、ここではあくまで一つの切り取り方として挙げさせていただきます。

■第1世代：2000年代　オンプレからクラウドへ

労務や経理などの領域における、SmartHR様やfreee様、マネーフォワード様など、簡単に言えば、これまで紙やエクセルでやってきた業務やオンプレ環境で個社向けに提供されていたものを標準化しクラウド化したサービスが挙げられます。
これらのいわゆるホリゾンタルSaaSは、各領域ですでに資本力のあるプレイヤーが存在することも多く、今から参入することは容易ではありません。ニッチな領域で参入することもありうると思いますが、解決できる課題の大きさが限られてしまいます。

■第2世代：2018年頃〜　バーティカルSaaSの台頭

ホリゾンタルSaaSが飽和状態になった後に登場したのが、製造業・医療業・建設業などにおけるキャディ様やユビー様、アンドパッド様など、特定の業界内で広く使われることを狙ったバーティカルSaaSです。これらのSaaSでは、その業界に特化した機能をオールインワンで担うことによって、マーケットをとりにいく動きも活性化しています。

■第3世代：現在　？？？

こうして第1、第2世代と大きなトレンドの変化が起こるなか、AIの技術進歩も加わり、次なる変革領域はどこかと話題になっていますが、様々な見方があるようです。AIによってSaaSのあり方自体ががらりと変わるのではないかという話もあったりしますが、いずれにしてもSaaSの市場は競争がより激化していくことは間違いないでしょう。

より大きな投資で、より大きなプロダクト（＝リターン）をつくることが求められる時代に

SaaSスタートアップの増加に伴い、10年前と比べてよりファンドの設立数もサイズも増えてきており、投資家はスタートアップに対してより大きなリターンを求めるようになってきています（*2）。

単一SaaSプロダクトの市場上限は160億円~200億円だと言われるなかで（*3）、そうしたリターンを出すために、はじめからマルチプロダクト化を狙う"コンパウンド"という考え方が出てくるなど、そもそも一つのSaaSで戦うという前提はなくなりつつあります（*4）。

そうした状況の中でより大きな価値を生み出すためには、既存のビジネスが存在し、課題が大きいマーケットを選定したうえで挑戦することが重要な鍵になると考えています。

*2: https://speakerdeck.com/tumada/2024-nian-nosutatoatupunoshi-mefang-kao-efang
*3: https://ubv.vc/contents/scaling/report-2022/
*4: https://diamond.jp/articles/-/334070?page=4

ITの普及により誕生した市場「サイバーセキュリティ」

こうしたSaaSをはじめIT産業が大きく発展し続けるなか、課題が新たに生まれているのが「サイバーセキュリティ」の領域です。

この領域が改めて注目され始めたのは、日本でも個人情報保護法が大きく改正された2017年頃からのことです。サイバー攻撃が多様化・高度化し、大規模な情報漏えいなどのインシデントが世間で騒がれるようになったのもここ数年のことではないでしょうか。ただ、そうしたニーズ顕在化の遅さとは裏腹に、企業でのDX推進やAI活用が急速に広がってきており、セキュリティの必要性は増す一方です。

こうして状況が目まぐるしく変化するなかで、サイバーセキュリティ領域で事業を立ち上げるプレイヤーは国内にまだ多くありません。約9割の企業がセキュリティ人材の不足を訴えている(*5)日本において、そうした人材を集めること自体もハードルが高く、市場をリードできるプレイヤーが少ないのだと考察しています。

*5: https://www.nri.com/jp/news/newsrelease/lst/2022/cc/1213_2

Assuredが見る、サイバーセキュリティ領域の可能性

そんなサイバーセキュリティ領域で戦いにいっているのがAssuredです。

Assuredは現在、企業やクラウドサービスのセキュリティを第三者視点で評価し、その評価情報を提供するプラットフォームを運営しています。

セキュリティ領域の製品は、IT企業がソフトウェアを管理するものなど、技術的なセキュリティに特化したものも多いなかで、AssuredはIT以外の業種の企業にも使っていただけるサービスです。ホリゾンタルな、すべての企業の当たり前な機能の一つとして「サイバーセキュリティ」を捉えています。

急激なデジタルトランスフォーメーションやクラウド化の波が押し寄せる中で、企業の重要な情報を外部に預けることも増えてきています。これまで組織内部のセキュリティだけを考えておけばよかった時代とは状況が大きく変わっている一方で、企業のセキュリティ評価・管理の手法はクラウド以前のやり方から変わっていなかったからこそ、Assuredというサービスは生まれました。

同じ情報を各企業に届けられるというマルチテナントの利点を活かし、「プラットフォーム」としてサービスを構築し企業同士の情報を繋げることで、独自の価値を築いています。

現在はセキュリティの評価から始めていますが、セキュリティ改善のためのノウハウ・リソースがない会社様に対して、SaaSとしてその手助けをするツールの提供をするようなサービスの展開もあるでしょう。企業が繋がるAssuredというプラットフォームだからこそ、評価と改善のサイクルが企業を超えて回ることで、社会全体のセキュリティ水準が向上していくような仕組みが構築できるのではとわくわくしています。

プラットフォームという性質上、その社会的なインパクトは巻き込む企業の数で決まります。すべての企業が必要とするサイバーセキュリティという領域だからこそ、非常に大きな事業となる可能性を秘めていると信じています。課題が顕在化したのがここ数年というこの早いタイミングで事業を推し進め、市場をとりにいく面白さはAssuredならではだと感じます。

新しい領域で挑戦することの難しさ

上記や代表の大森の記事でも挙げられている通り、社会的な課題を広く捉えて解決していく面白さはありつつも、難しさも同時に存在します。

サイバーセキュリティに関連する企業活動は、まだまだ大企業でも、いくら投資すべきか、どのような取り組みをすべきかを模索している段階です。世の中的にもまだ新しい課題だからこそ、我々としてもお客様に伝えるべきベストプラクティスを探索しながらプロダクトに落とし込む必要があります。アメリカのプロダクトをそのままタイムマシンで持ってこれば良いということは決してなく、お客様との対話を通じてインサイトを探しながら、日本の商習慣に合ったプロダクトを一から作り込む必要があります。

市場性という意味でも、業界によって取り組み状況や必要性に対する意識がバラバラな中で、各業界の動きを見ながらアプローチしていく必要があります。セキュリティの事故が多いのは委託先として稼働する企業であることも多い一方で、その担い手である中小企業のセキュリティ意識は大企業と比べて高くない現状があります(*6, *7)。こうした社会の現状に対して、セキュリティ投資の意識を啓蒙していくことで、市場自体を広げていくことも今後必要になってきます。

ありがたいことに、Assuredのお客様は増え続けていますし、プラットフォームとしての価値を感じていただき応援してくださる声も多くなってきました。こうした声があるからこそ、難しいチャレンジもなんとかなるのでは、とポジティブでいられます。

たくさんの仲間と一緒に取り組むことでしか、この大きな課題の解決はできないと考えています。この記事で「サイバーセキュリティ、意外と悪くないかも？」と思っていただけた方は、ぜひお声がけいただけたら幸いです。

*6: https://consult.nikkeibp.co.jp/info/news/2022/0527/
*7: https://www.murc.jp/wp-content/uploads/2024/05/seiken_240516_01.pdf