SaaSスタートアップと大企業との連携における4つの論点

　スタートアップのビジネスモデルが「toB」（BtoB等）なのか「toC」（BtoC等）なのかによって事情の違いはあるが、一般的にスタートアップにとってエンタープライズなど大きな顧客やシステム連携先を獲得できることは、ビジネスの成長に寄与し得るものだ。

　なお、ここでいう大企業とは、すでにオンプレミスで自社システムを10～20年以上稼働させているような企業や、各業界で一般に認知されているような大手企業群などをイメージしている。そういった企業群へのサービス提供はスタートアップにとって大きなビジネスチャンスになるが、同時に歴史や社会的責任からくるハードルの高さが悩みの種にもなる。

　また業界によって、たとえばフィンテックスタートアップでは金融機関との接続確立や安定運用がビジネスを実現する中核になったりもするが、言うまでもなく金融機関側は高いセキュリティ要件を求めてくることが多い。

　あるいは、SaaSを提供しているスタートアップであれば、システム上の連携やきめ細やかな接続オプションに対応できることが大前提になったりもする。

　この記事は性質上、 BtoBの SaaSスタートアップを主眼においた話題が多くなる。しかし、それ以外のスタートアップにおいても接続時のサービスの提供方向（スタートアップが自社サービスを接続先に提供するのか、あるいは逆か）によって要件が異なるところはあるが、細部は自社のケースに読み替えて消化していただければ幸いである。

　今回は、以下の観点にまとめて筆者がよく案内する内容をまとめていく。

（1）システム間の通信経路
（2）データを連携するマネージドサービス
（3）セキュリティチェックシートの対応
（4）SaaSシステムにおけるテナントの考え方

　また、技術的な要素ももちろん述べていくが、他社とのシステム連携はビジネスモデルやポテンシャルそのものに関わるところにもなる。エンジニアの方だけでなく、ぜひビジネスサイドの皆様にもこれらの要素を把握していただきたい。

（1）システム間の通信経路

　まず複数のシステムをつなぐためのネットワーク通信経路から始めよう。ここでは大きく分けてパブリックなインターネット経由、AWS PrivateLink、 AWS Direct Connectについて見てみよう。

・パブリックなインターネット経由

　サービスを提供する側が TLS （Transport Layer Security）で保護されたエンドポイントを用意し、クライアントになるシステムから HTTPSのプロトコルでパブリックな回線を通じて接続してもらう方法だ。サービスを提供する側としてはシンプルに Web API を用意すればよいが、回線が閉じていない分、どのように権限を制御するか、エンドポイント・クライアントを守るかをよく考えて設計、実装、運用する必要がある。

　たとえば、日本のクライアント企業から「エンドポイントのIPアドレスを固定してほしい」とリクエストされるスタートアップは多い。これは多くの場合、クライアント側システムの Firewallで、Outbound先を IPアドレス単位で許可しているためである。AWSで言えば、Network Load Balancer をシステムの前面に配置して使うことで Availability Zoneごとに静的な IPアドレスを得たり、AWS Global Acceleratorを使えば2つの静的 Anycast IPアドレスが得られたりする。

　リクエストの認証はどうすればよいだろうか。何らかの認証情報を送ってもらい検証するロジックを実装するか、TLSのクライアント証明書を使って mTLS - 相互認証を設定しておくか。mTLSについては、Amazon API Gatewayを使うとパブリックまたはプライベート認証機関からの証明書を使って設定することができる。

　また、クライアント側システムのセキュリティ要件によっては、該当システムからインターネット回線に出ることが許されていないケースもよくある。そのような場合に検討できるのが次のような手段である。

・AWS PrivateLink を使う

　AWS PrivateLinkは、サービス提供側とクライアント側の AWS環境同士や、オンプレミス環境との接続を簡単にするためのサービスだ。クライアント側システムの要件が前述のパブリックなインターネット接続を許容しない場合などに、PrivateLinkでクライアント側と接続することで、VPNなどを構築することなくプライベート接続を通じてサービスを提供することができる。


　サービス提供側・クライアント側双方が AWSアカウントを持っている場合を想定して仕組みを簡単に述べると、PrivateLinkを使うと、クライアント側の AWS環境内にプライベート IP アドレスを持つ Elastic Network Interface （ENI）を “生やす” ことができる。クライアント側はインターネットに出ていくことなく、この手元にある ENIにアクセスすることでサービスを利用することができる仕組みだ。

　実際にこの PrivateLinkを使ってエンタープライズ企業にサービスを提供するスタートアップの事例も増えており、閉域接続を提供する際の代表的な選択肢の1つになっているといえる。

・AWS Direct Connectを使う

　AWS Direct Connect は、オンプレミスとAWSとを専用線で接続するサービスである。AWS Direct Connect を使用すると、AWSとデータセンター、オフィス、またはコロケーション環境との間にプライベート接続を作成することができる。たとえば連携先システムがデータセンターやコロケーションにある場合にDirect Connectを使って閉域接続を確立することができる。

（2）イベント・データを連携するマネージドサービス

　次に、システム間のデータ連携についてだが、これにはAWSのマネージドサービスを活用できる。

・Amazon EventBridge

　Amazon EventBridgeは、サービスとサービスの間をつなぐための「イベントバス」として機能し、SaaSサービスのイベントをクライアント側で受け取ることができるようにするサービスである。EventBridgeに対応した SaaSアプリケーションは、簡単かつセキュアに、イベントソースとしてAWSのサービス群と連携させることができる。


　日本のスタートアップ企業も複数社、EventBridgeに対応したパートナーとなっており、これによってクライアント企業からのサービス利用をより簡単、セキュア、かつイベントドリブンにできるようにし、ビジネス加速させている。

・Amazon AppFlow

　 Amazon AppFlow は、Salesforce、Marketo、Slack、および ServiceNow などの Software-as-a-Service (SaaS) アプリケーションと、Amazon S3やAmazon Redshiftなどの AWSサービスとの間で、たった数回のクリックでデータを安全に転送できるフルマネージド統合サービスである。


　現在対応しているサービスはこちらにリストされているが、新しいサービスのリクエストはフォームから送信できる。あるいは自社サービスの対応を検討してほしい場合はappflow-integrations@amazon.com　へ連絡すると、AWSがそれを検討することになる。

・AWS Data Exchange

　AWS Data Exchangeは、価値あるデータを豊富に持つサービス提供者が、AWS Marketplaceを通じてデータ利用者（サブスクライバー）にデータを提供することができるサービスである。これを使うことで単なるデータの連携経路の確立だけでなく、スタートアップにとっては自社の新しいビジネスモデルを作ることにもつなげられるかもしれない。

　たとえば金融・投資の業界では「オルタナティブデータ」（注）という考え方があるが、ユニークなサービスを展開するフィンテックスタートアップはもしかしたらデータプロバイダーとしての価値を大きく持っている可能性もある。



【次ページ】セキュリティチェックシートの対応や、テナントの考え方