- ProductZine Day 2025:S-2セッション「サイバーセキュリティの市場でプラットフォームを作る。Assuredのプロダクトディスカバリー」
自社のインサイトの深掘りから生まれた、セキュリティ評価プラットフォーム「Assured」
即戦力人材と企業をつなぐ転職サイト「ビズリーチ」などを傘下にもつVisionalグループの一員、株式会社アシュアード。同社が提供するセキュリティ評価プラットフォーム「Assured」は、クラウドサービスのセキュリティ評価情報の提供によって、企業の安全なクラウド活用を支えるサービスだ。クラウドサービスを利用したい企業からの調査依頼を受けて、セキュリティ資格を持つ同社の専門チームが調査を行い、その情報を依頼企業に提供するだけでなく、Assured内にクラウドサービスの評価データベースとして蓄積し、その情報を共有することから「プラットフォームサービス」として機能している。
一部クラウドサービス事業者向けの有償機能もあるが、基本的にはクラウドサービスの利用者側からの調査費が事業の主軸だ。またクラウドサービスのセキュリティ評価プラットフォームを基盤として、サービスの管理台帳機能や利用中のクラウドサービスの検知機能など、企業のセキュリティ評価に関する業務フロー支援機能も有する。リリースして約3年で、150以上の金融機関をはじめ、大手企業を中心とする1000社以上の企業に導入されるまでに成長した。
今後も拡大が期待される同サービスだが、そもそもセキュリティ評価というサービスは他に類似がない。いったいどのようにしてサービス提供が始まったのか。Visionalグループの新規事業として立ち上がったきっかけについて、鈴木氏は「自社のインサイトが起点となった」と説明する。
「ビズリーチを運営しているクラウドサービス事業者として、契約企業から送られてくる大量のセキュリティチェックシートに回答する必要があった。しかし、それぞれフォーマットが異なるため、専任者が手作業で属人的な対応を行う必要があり、煩雑さが課題となっていた。一方で、クラウドサービスのユーザーでもあり、セキュリティチェックを依頼する側の事情も理解していた」
ユーザーと事業者の担当者間で評価基準を合わせ、フォーマットをメンテナンスしながら適切な評価を実施していくのは相当の手間がかかる。とはいえ、ユーザー企業ごとにチェックシートが異なり、事業者側の努力だけでは解決しがたい課題だった。
長年の慣習であったExcelでやり取りするという根本的な仕組みは変えられず、個別最適・部分最適にとどまる恐れがあった。そこで、Assuredがクラウド事業者とユーザーの両者の間に立ち、一元的な評価を提供するプラットフォームになることを構想したと言う。
鈴木氏は、「業界全体の課題として捉えることで、より大きな価値提供を考える必要が生まれる。この判断が、成長に貪欲な事業を作る礎になった」と語る。
新しい市場を開拓し、プラットフォームビジネスとしてのあり方を模索
事業化にあたっては、まず「なぜこの課題が解決されてこなかったのか」という原因を探った。先行事業者に対するデスクトップリサーチからは、「セキュリティ評価」という業界カテゴリが確認できず、前例も見当たらなかった。通常ならここで撤退するケースも多いだろう。しかし、課題を抱えている企業へのヒアリングからは、実際に困っている人が多く、中には海外製品を導入しているケースもあり、解決策が期待されていることが伺えた。
そもそも2020年頃はDX推進の広がりもあり、個人情報保護の規制に伴って、セキュリティ強化に力を入れる企業が増えていた。海外には、すでにそうしたニーズに応えて売り上げを伸ばすプレイヤーがいることも調査によって分かった。
市場が見えてきたところで、続いてビジネスモデルの現実性について検討した。とりわけソリューションの最たるカギとなる「チェックシートのフォーマットの統一」について仮説を検証するべく、「MVP(Minimum Viable Product)」で「Assuredが設計したエクセルのチェックシート」を用いた。これをいくつかの企業に用いてみた結果、国際的なセキュリティガイドラインにのっとり、一定の網羅性があれば、多くの企業のチェックシートをカバーできることが分かった。
鈴木氏は「仮説に対してミニマムな形で検証できたのは良かった。さらに何社かの企業からPoCという形で協力を得て、Assuredの介在で調査業務が回るのかも検証できた。第三者調査の信頼性や、事前に情報を整理する必要性など、オペレーションの“引っかかりどころ”を確認できたことも大きな収穫だった」と振り返る。
またプラットフォームサービスとして、評価データが集まっていないと価値提供ができないという“たまごとにわとり”問題が懸念されたが、あえてデータだけを集めるよりも、従来業務で企業からの依頼によってデータを集める方法が最もスムーズだということが分かってきた。
そして最後に検討したのが、「実際に利益が上がるのか」ということだ。当初は「工数削減」をメリットとして訴求していたが、人件費との兼ね合いでサービス単価を上げることが難しいことが判明。ただし、「専門家の第三者評価に価値がある」とするユーザーのフィードバックから、事業的価値を改めて感じることができた。そこで、「クラウドサービスのセキュリティ評価業務の高度化」を訴求するようにしたところ、提供価値に見合った対価が見込めるようになったと言う。
「値付けは、立ち上げ期に低く設定してしまいがちだが、その後上げることは難しい。適正な価格となるよう、何度も調整したことは結果的に良かった」と鈴木氏は語る。
さらに鈴木氏は、新規事業における市場の選定基準について、参考として「Visionalにおける事業創出フレームワーク」を紹介。それによると、「社会構造の変化によって市場の成長が期待されること」「DXのニーズが顕著」「市場のポテンシャルが大きい」などが市場選定基準に該当する。鈴木氏は「当時はあまり意識していなかったが、そうした成長を見越した市場選定ができていたのではないか」と評した。
鈴木氏は、改めて「市場の見つけ方について、まずは強いユーザーニーズをヒアリングによって確かめることが重要。そして、現在の市場を見るというより、社会の波に乗って将来的な市場がどのように形成されるのかを想像しながら、事業を始めることが大切だ」と強調する。その一方で、事業として売り上げにつなげるには、「いまどのくらいお金をかけているのか」を確認し、それと代替するものについて工数削減以上の価値提供ができているかを確認しながら進めることが重要とした。
そして、「新しい市場を開拓することは、競争が少ない環境でビジネスを展開できるという大きなメリットがある。市場における競合が少ない段階で参入することで、独自のポジションを確立しやすくなり、企業としての成長の可能性を広げられる。さらに、こうした市場創造の過程で得られる先行者利益は、企業にとって重要な要素となる」と分析した。
プラットフォームとして大きなグロースサイクルを意識し、思想を伝える
事業の立ち上げから現在に至るまで、「Assured」というセキュリティ評価プラットフォームとしての価値をどのように高めてきたのか。そもそもSaaS(Software as a Service)とプラットフォームではモデルはもとより、マネタイズの形態や成長の方向性なども異なる。
SaaSのビジネスモデルでは、基本的にサブスクリプション型課金が採用される。この形態では、ある一つの企業に対して継続的に価値を提供することが重要となり、サービスの機能を拡張しながらアップセルを図ることで成長を促進するケースが多い。複数のプロダクトを展開し、既存顧客に追加価値を提供することで、収益の最大化が図られるというわけだ。
一方、プラットフォーム型のビジネスモデルでは、複数の企業や個人をつなぐマッチングや課題解決が中心だ。特定のプロダクトを軸に、マッチングできるデータの集積が進むほど、規模が拡大し、より多くのユーザーを引きつけることが可能となる。「Assured」もSaaSとしての側面もありつつ、事業としてデータを増やすことが価値を高めることになる。
プロダクトの成長を促進するために重視したこととして、鈴木氏はまず1つめに「グロースサイクルを的確に捉えること」をあげた。初期の「Assured」の価値提供としては、調査のフローを回すことで「十分」と言えるかもしれない。企業からの調査依頼を受け、事業者からの回答を回収し、それを評価したレポートを提供することで、一定のマネタイズが実現できるからだ。
しかし、より多くのデータを蓄積し、プラットフォームとしての価値を高めるためには、調査以外のデータの収集も視野に入れる必要がある。そこで、クラウドサービスのユーザーに対して、調査せずにデータを収集する環境を作ることを意識し、業務フローの課題解決を支援するソリューションを開発して提供した。また、事業者に対しても、プラットフォームの理念に共感した事業者は自発的に情報を提供するようになると考え、サービス情報の開示を促す仕組みを導入した。当然ながら、蓄積したデータを活用しやすく整備することもサービス価値を高めるには重要な施策といえるだろう。
そして、2つめの重要ポイントとして、「プラットフォームの思想を伝えること」をあげた。
鈴木氏は「プラットフォームという概念は定義があいまいになりがちで、日々の開発やオペレーションに集中していると、目線が下がってしまうこともある。そのため、自社がどこを目指しているのかを常に意識し、共有することが重要だ」と語った。実際には、ミッション・ビジョン・バリューの策定を通じて、自社の目指す方向性を言語化し、これを基に「ブランドブック」を制作し、企業としてどのようなスタンスで顧客の課題解決に取り組むべきか、どのような世界観を構築したいのかを社内で共有したと言う。
また、営業活動でも、「当社はプラットフォームである」というメッセージを積極的に発信していった。その結果、「社会インフラの一つとして成長してほしい」「セキュリティチェックのデファクトスタンダードとして確立してほしい」といった期待の声が寄せられるようになったと言う。鈴木氏は「こうした言葉は、プラットフォームの思想を伝えた結果としていただいたもの。企業としての方向性を明確にすることで、より多くの支持を得ることができた」と語った。
ニーズの探索のためのヒアリングを工夫し、先行者としての優位性を保持
プロダクトの成長を促進するために重視していることとして、鈴木氏は3つめに「ドメインエキスパートとの連携によるニーズ探索」をあげた。市場開拓のためには、提供価値を明確にし、伝え方を模索することが重要となる。この探索では、ポテンシャルユーザーを含めた多くの顧客へのヒアリングを実施していると言う。例えば、CS担当者から課題を抱えているユーザーを紹介してもらって直接話を聞いたり、より率直な意見を収集するために、利害関係のないユーザーをスポットコンサルティングサービスなどのプラットフォームから探したり、対象や内容もさまざまだ。
このヒアリングの場にセキュリティのドメインエキスパートが同席することで、専門的な話を深掘りするだけでなく、ユーザーの発言をうのみにせずに、業界のトレンドや別の視点を交えて議論することが可能になる。こうした継続的な探索とヒアリングを通じて、最新のセキュリティトレンドと実運用のバランスを考え、サービスの方向性をより明確化しているというわけだ。この際にもう一つ、意識しているのが、現場やマネージャー、ガバナンスを統括するCIOなど立場の異なる担当者にヒアリングすることだ。それによって、別の視点からの意見や課題を抽出することができると言う。
そして、4つ目のポイントは「プロダクトの優位性を守る」ということだ。プラットフォームは先行者の一人勝ちになることが多く、先行者の優位性は是が非でも守る必要がある。そのためには、マーケティングやブランド戦略の強化が不可欠だ。具体的にはドメインエキスパートによるセミナーで専門家の認知を高めたり、ブランドガイドラインによって一貫したブランドイメージを打ち出したり、さまざまな施策を実施している。
さらに、プロダクトの設計においても、後発が容易に模倣できないよう、特許の取得にも力を入れていると言う。例えば、セキュリティチェックシートにスムーズに回答できるUI設計や、評価の依頼と活用を簡単にする機能などについては、継続的に改善を行いながら、複数の特許を取得している。こうした細かな工夫を積み重ねることで、競争力を維持し、持続的な成長を実現している。
トータルなセキュリティ対策が求められるなか、誰もが安心して取引ができる環境を目指して
「Assured」の今後の展開として、鈴木氏は「インターネットを介したビジネスが広がる中で、起きている課題を解決したい」と意欲を見せる。現在の日本のサイバー攻撃被害の半数が取引先経由と言われる中、自社だけではなく、取引先やクラウドサービスの利用まで含めた「トータルなセキュリティ対策」が必須となりつつある。そうしたなかで、「Assured」は「取引に確信を与えるセキュリティの星付きガイドへ」をビジョンに掲げ、誰もが安心して取引ができるよう、セキュリティの実態を可視化し、確認した上で取引ができる環境を創り上げていきたいと言う。
そして、2025年6月11日に、クラウドサービスのセキュリティ評価「Assured」に加えて、新サービスとして、取引先企業のセキュリティ評価を行う「Assured企業評価」をリリース。さらにはセキュリティ評価だけでなく、今後は改善策となるソリューションも提供することで、可視化と改善のサイクルを確立し、社会全体のセキュリティ水準向上を目指すと言う。
そこで重要な役割を担っているのが、プロダクトマネージャーだ。Assuredのプロダクトマネージャーは、サービスの企画から開発のデリバリーまでを一貫して担当し、事業の成長を支える重要な役割を担う。自由度が高く、幅広い裁量を持って業務を進めるため、積極的に事業の方向性を決定し、推進することが求められていると言う。また、開発チームに閉じず、事業課題をプロジェクト化し、ビジネスのメンバーやドメインエキスパートと連携しながら、小規模な横断的チームを編成し、スピード感を持って課題解決に取り組んでいる。そうした体制により、プロダクトマネージャーはハブとしての役割を果たし、組織全体の連携を強化しながら、事業の成長を加速させているというわけだ。
鈴木氏は「Assuredは今後加速度的に事業を伸ばしていきたいと考えており、一緒にチャレンジする仲間を募集中だ。ぜひ興味を持った方は連絡してほしい」と語り、セッションを終えた。
第三者機関による高品質なセキュリティ評価を
Assurredはクラウドサービスや取引先といった第三者との取引におけるセキュリティリスクを、客観的かつ効率的に評価・管理するサービスです。
「社内独自のセキュリティ評価項目精度への不安」「専門人材不足による業務負荷」「より強固なサードパーティリスクの管理」に課題を感じる方はぜひお気軽にお問い合わせください。
- Assured クラウド評価サービス:資料ダウンロードフォーム
- Assured 企業評価サービス:資料ダウンロードフォーム
