クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddy有料プランに込めた想い

※2017年9月12日追記
2017年9月12日に価格変更を行いました。

料金プラン改定のお知らせ

本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。


昨日、VAddy有料プランをリリースしました。
「クラウド型Web脆弱性検査ツール「VAddy」がチーム機能や検査項目を追加した2つの有料プランを開始

これまで1年間は無料プランのみで運用しており、そのフィードバックや運用結果を元に有料プランを設計しました。
この記事では、有料プランに込めた思いや悩みを書いていきたいと思います。

無料プランはSQLインジェクションXSSの検査が何度でも無料で実施でき、CI連携も可能です。

有料プランと無料プランの違いは大きく分けると、
・検査項目の追加
・長時間の検査時間にも対応
・チーム機能
・過去の検査結果の参照期間
になります。詳細はプレスリリース記事が比較表もあって分かりやすいのでご覧ください。
http://vaddy.net/ja/release/20150907.html

この1年は無料プランのみ提供して、本当に使ってくれるユーザはいるのか、解決したい問題が解決できているのかを見て、何をして何をしないのかを定義する、というようなことをしてきました。

次は、お金を払う価値のあるサービスや技術を提供して、安定した収入を得て、長期的に安定してサービス運用することを目指します。


価格

価格はスタンダードプランが$100/月で、Proプランが$300/月です。

価格と内容を決めるのに一番苦労しました。
高すぎても利用者が増えなそう、安すぎても自分たちのサービスの継続が難しくなりそう、そういった中でどう価格を決めるか。
まずは、既存の脆弱性診断サービスの平均価格の100分の1ぐらいにはしたいと思いました。これぐらいの価格であれば継続して利用してもらいやすいかなと。
またあまりに安すぎるセキュリティサービスは利用するのが不安になったり、社内の稟議が通らない可能性があるという声もありました。面白いですよね。

CI系のサービスやサーバメトリックス系のサービスですと、ちゃんと使おうとするとこれぐらいの価格は越えますし、チャット系のサービスも人数が増えると月数万円など結構な額になるため、価格としてはこれぐらいかなと思ってます。
VAddyの月$100プランを5人のチームで使う場合、1人$20/月になりますので、チャットサービスやCRMサービスとコストは変わらないです。
また、月$100で3サーバまで使えるため、3つの案件でそれぞれ使うと、1案件$33程度になります。

有料プランでも無料プランでも、SQLインジェクションXSSの検査の内容は変わらないため、悩んでる方はまずは無料プランで継続的な検査を実施して貰えると良いかなと思います。


何にお金を払っていただくか

基本的にはサーバリソースを消費するものに対してお金を頂くというスタンスです。

検査項目が増えればスキャン時間が長くなるのでスキャンサーバのリソースが消費されますし、過去の検査結果を保持し続けるのはDB容量などの問題が発生します。

それとは別の視点で、無料版には無い何か魅力的なものを提供する点を考えると、VAddyは脆弱性の検査がメインなので検査項目の増加は魅力的だろうと判断しました。

大きなチームで運用する場合や、プロジェクト単位に人が変わる場合などに対応するためにチーム機能も魅力的に思ってくれるユーザがいると考えました(実際そういった声も多かったです)。

例えば、スキャンの実行は開発者やCI(Continuous Integration)運用者が担当し、マネージャーや社外の開発者にはスキャンの実行は許さずに検査結果だけを見てコードの修正やリリース判断に使ってもらうというケースを想定しています。
開発者に社外の人がいる場合、1アカウントのID/PWを共有する方式だとメンバがやめた後の対応が大変ですが、チーム機能があればやめた時にメンバーから除外すれば良いので楽になります。


決済

Visa/Masterのクレジットカード決済のみ対応しています。ドルベースで決済日のレートでカード会社から請求されると思います。ここはAWSなどのクラウドサービスと変わらない点だと思います。

なぜドルのみかというと、VAddyを世界で売って行くという自分たちのスタンスから優先度を考えた結果です。(円決済は現在検討中です)
最近は海外のクラウドサービスを利用するとドルのクレジットカード払いが多いので、日本の会社でもそういった決済に抵抗がなくなってきているのではないでしょうか。

決済会社はソニーペイメントを選択しました。外貨の定期決済ができるサービスを探すと、国内では数件しかありません。
Stripeはまだ日本で正式展開しておらず円決済しかできません。ドル決済の場合はアメリカのSocial Security Numberが必要だったり、色々と大変そうだったので簡単にできそうなソニーペイメントにしました。

WebAPIが用意されてて、ドキュメント見ながら開発環境にPOSTリクエストを投げてみて結果を見ながらその通りに実装するだけですので、実装は簡単でした。Stripeであれば、既に他の人が作っているライブラリがあるのですぐに使えるのが便利ですね。

ソニーペイメントの場合は外貨決済サービスの申請から承認まで2ヶ月ぐらいかかるので早めに申し込みしておかないといけないのが注意点です。(たぶん他の決済会社でも承認までそれぐらいかかると思います)


さいごに

無料プランをリリースして1年ぐらい利用状況を見ながら、ミートアップやワークショップ、オンラインの問合せなど多くのフィードバックを頂いて価格と内容を決めました。
これが正解だったのかまだ分かりませんが、1年がかりで結論を価格という形でまずは表明できました。
次は本当にお金を頂いて息の長いサービスにしていく必要があります。簡単に潰れるような無責任なサービスにはしません。
そのために、日々チームで議論し、ユーザと会話し、地道にコツコツやっていきます。

VAddyプロダクトマネージャ 市川

継続的セキュリティテストサービスVAddy