LRM 幸松 哲也｜Security Dietを通じて顧客の持続的な企業価値向上を実現

大事にしてきたのは小手先ではなく本質。形だけでなく役に立つセキュリティを提供したい。

企業のセキュリティに対するリスクマネジメントの重要性は年々増してきています。

企業はセキュリティ対策を重要な経営課題として考える必要があり、とくに個人情報や顧客情報などを取り扱う場合には、情報保護が社会的な責務となっています。

LRM株式会社は「日本で一番身近な情報セキュリティ会社になる」ことをビジョンに掲げ、これまでさまざまな企業にセキュリティ対策の支援を行なっている企業です。

今回は、LRM代表取締役の幸松さんに、企業のセキュリティ対策において本当に重要なことは何なのか、またLRMが成長できた要因などを創業手帳の大久保が聞きました。

※この記事を書いている「創業手帳」ではさらに充実した情報を分厚い「創業手帳・印刷版」でも解説しています。無料でもらえるので取り寄せしてみてください

2度の転職を経て「LRM株式会社」を設立

大久保：起業までの経緯を教えてください。

幸松：実は、実際に起業するまでは起業したいとか、そもそも意識したことすらありませんでした。

新卒でTISに入社して3年間ほどSEを経験した後に外資系のITに転職しました。その後明確なジョブチェンジを目的とし、コンサルタントを目指して転職しました。

当時（3社目）はシステム会社のコンサル部で、部長と2人だけの部署にいたんですが、部長が独立すると言って会社をやめてしまったんですよね。

1人でもコンサル部署に残れるのか会社に相談はしたのですが、会社としては一人の事業部は無理という判断をして、僕は元々エンジニアだからエンジニアの部署に移るか、君も部長と同じタイミングで独立するのが良いんじゃない？くらいの感じだったので、自分も独立を選んだということが起業のきっかけです。

大久保：起業をされた経緯が珍しいパターンだと思うのですが、最初は受託から始めたのですか。

幸松：そうですね。元々の会社がコンサル企業から案件を受託している会社だったので、「〇〇会社の幸松」から「LRMの幸松」に変わっただけで、変わらずに案件は流れてきました。

大久保：どのような形で会社を成長させてきたのでしょうか。

幸松：最初は1人で下請けでやってたのですが、自分で自由に提案するのが好きで仕事に対しては自分で責任を取りたかったので、下請けはやりたくなかったんですよね。

元請けしたいという気持ちはありつつも、金なし・コネなし・実績もなしの状態だったので、Webサイトから集客しようと始めました。

自社で問い合わせをもらって元請けになることで、入ってくるお金も下請けに比べたら多いですし、そう言った状況の中で案件を取りつついろんな人を採りつつ、少しずつ大きくなっていきましたね。

2005年から個人情報保護法が施行されたこともあり、当時は社会全体としての波がありました。

セキュリティコンサルをやっている企業も少なく対策を始めるのは大手が多かったので、単価が高い案件を受注できたことも1つの要因でしたね。

あとは、コンサルはどうしても胡散臭く感じられてしまうので、ウェブサイトにお客様の声を出したり、実名・顔出ししたりなどで信頼をつかんでいったことも成長の要因だったと思います。

セキュリティ対策で重要なのは形ではなく過程

大久保： 御社のコンサルではISMSなどの認証活動だけではなく、取得までの過程を大事にしているのでしょうか。

幸松：そうですね。自分たちの事業として時間とお金をかけてやっていることなので、形だけよくするだけではなくどうせやるなら役に立ちたいという思いが強いですね。

ちゃんと役立って社会貢献をしたいと思うので、全員ではないにしろ関わった企業や経営層だけでも「やってよかったな」と言ってもらえるような活動がしたいです。

大久保：セキュリティ対策は形骸的なものではなく、企業をよくするという面もありますよね。

幸松：セキュリティ対策をしていくことで会社は筋肉質になっていくと思いますね。

認証取得のコンサルが入り口でレベルが高くなってくると業務コンサルに近い形になっていて、本当の意味でのセキュリティコンサルや業務改善というところにつながってきますね。

Security Diet（セキュリティダイエット）という形で顧客それぞれが向かっているところに合わせ、痩せる、筋肉をつけるなどをセキュリティコンサルという形で提供しています。

そうしていくことで形骸的なセキュリティ対策に留まらず、本当の意味でセキュリティリテラシーが高い会社になっていくと思います。

本質を大事に信頼を積み重ねた

大久保：セキュリティのコンサル事業はどのような形で成長してきたのでしょうか。

幸松：社会的なニーズが高まってきたタイミングでWebサイトが上位表示されていたこと、社員が適切なコンサルを行なってくれた結果少しずつ良くなっていったという形です。

大久保：何かがきっかけでいきなり伸びたというわけではなく、コツコツ積み重ねたという形でしょうか。

幸松：そうですね。ものすごく地味だと思います。

たとえば、GoogleのSEOなどでもブラックハット的な技は一切使っていなくて、しっかりと本質をついておかなければいけないという思いがありました。

当時は競合他社でもホームページを整えていないところが多く、順位をあげることを目的としている企業が多かったですね。

その点僕はホームページはユーザーとのコミュニケーションだと捉えていて、悩みに対する回答がないというのはありえなかったのでコンテンツはしっかりと作り込んでいました。

結果としてアルゴリズムの変更で大幅に順位が落ちたことはありませんし、こういった地味な作業をコツコツとやっていったことは大きかったなと思います。

大久保：なるほど。小手先のものではなく、本質を大事にされてきたのですね。

「セキュリオ」で個人レベルでのリテラシー向上を支援

大久保：「セキュリオ」を開発した経緯をお聞きしたいです。

幸松：いろいろなクライアント様にコンサルをさせていただくなかで、課題が結構共通だなということ、ISMSなどを取得することはある程度プロセスが決まっているので、じゃあそれクラウドでできるんじゃない？と思ったことがスタートです。

そういうサービスをやっているところがないか探したんですが、当時の世の中にはなかったため社内で作り始めたという形です。

最初はISMSで使えるように作り始めたのですが、必要な機能が多いため、最初のステップとして企業のセキュリティ教育に目をつけて、毎年教材が自動的に新しくなるeラーニングのサービスを作り始めました。

その後ISMSの機能などを作っていったのですが、途中から企業の目的はISMSの取得ではなくセキュリティ対策の強化だよなと思い始め、プロダクトの在り方を変えていきました。

具体的にはより広い意味で世の中に貢献できるよう、社会全体としてのセキュリティリテラシーを上げられるプロダクトにしていこうとなりました。

現在では情報セキュリティ教育クラウドとして、社員1人1人のセキュリティリテラシー向上を目的にしています。

現在の形としてeラーニング・標的型攻撃メール訓練機能がありますが、あくまでセキュリティリテラシーを向上させる手段として選んだに過ぎず、僕自身はリテラシーが上がればどのような形でもいいと思っています。

大久保：なるほど。社員のリテラシー向上はセキュリオで、企業のセキュリティ課題はコンサルで解決しているということですね。

セキュリティリテラシーの重要性

大久保：セキュリティリテラシーの在り方や重要性をお聞きしたいです。

幸松：たとえば、日本人は財布を拾ったら交番に届けるということを当たり前にできる人が多いですよね。これって日本人のリテラシーが高いからできるんだと思うんですよね。

セキュリティもこのような形になったらいいと思っていて、全てをルール付けして縛るのは難しいですし社員側もすごく窮屈になってしまいます。

財布を拾ったら届けるというくらい当たり前にセキュリティへのリテラシーが高まっていれば、変にルールを作る必要もなく縛られることもなくなりますよね。

大久保：財布などの有形物ではなく、無形物な情報セキュリティというところに対しては無意識に悪いことをしてしまうという人も多いですよね。

幸松：そうですよね。でもそうしてしまうと、本人・会社・家族などみんなが不幸になってしまうんですよ。

しかも個人がどうにかできるレベルではない問題に発展する可能性も十分ありますので、セキュリティリテラシーは非常に大切です。

またセキュリティは大事ですか、大事ではないですかとビジネスマンに質問したら全ての人が大事だと答えると思いますが、大事だと答えた人の9割はおそらく自分に関係ないと思っていると思います。

一部の人だけがセキュリティに対しての当事者意識を持つのではなく、社会全体としてセキュリティを重視するように変えていかなければならないとも思っています。

上場を決意した背景

大久保：御社は途中からIPO路線に切り替えた形でしょうか。

幸松：そうですね。10年経った時ぐらいに、上場するしないといったところを含めていろいろな社長さんに会って話を聴きながら悩んでいた時期がありましたね。

1年くらい考えて上場させて会社を継続的に成長させる方にシフトしようと決めました。

そこからはキャッシュベースというよりも、事業成長という点にフォーカスして経営を進めていきました。

大久保：御社の場合には既存の事業でキャッシュフローも安定していたと思うので、上場をするしないも選択できる状況でしたよね。

幸松：そうですね。選択できる強さはありましたが、お客さんがいるので会社を潰してはいけない、形骸的ではなく本質的なセキュリティコンサルをするという社会的責任なんかも感じていましたね。

大久保：そういった面でも上場して永続的に続けていこうと思ったんですね。

幸松：セキュリティはなくならないと思っているので、上場して会社をしっかりすることによって、セキュリティコンサル人材の育成や事業の継承者を探しやすくするといった目的もありました。

上場準備で変化したこと

大久保：上場を意識したことで経営方針や社内での変化はありましたか。

幸松：僕の立場で言うと権限委譲を急激にしていったという点がありますね。

拡大フェーズの中で自分が主体でやったらいけないので、チームを意識して仕事をしていくというのはその時からとくに強くなったと思います。

個人的には公私混同もしなくなりましたね。

大久保：見ている視点なども変わりましたか。

幸松：そうですね。SaaSとしてのKPIは見つつ、コンサルの方では労働集約になりがちな部分があるので、労働時間にくわえて生産性も強く意識するようになりました。

今は僕がトップダウンで指示を出して何かをすると言うのが事業上では無くなっていますね。

僕が指示を出してではなく、現場サイドが考えて自発的に動くという形ができています。

大久保：業務の本質自体は変わっていないでしょうか。

幸松：僕らのミッションが「Security Diet」でビジョンが「日本で一番身近な情報セキュリティ会社になる」ことなんですが、ここはずっと変わってないですね。

経営層だけでなく社員全体として浸透しているので、やり方が変わっても本質的な部分は変わってません。

基本的に1人1人が考えようという風土でフラットな組織形態を目指しています。

LRMが成長できた要因

大久保： 社員ゼロの一人社長状態から現在までそれぞれのフェーズで成長を続けられた要因などはありますか。

幸松：それぞれのフェーズにおける関係者が一時の痛みを耐えた、理解があったということがあると思います。

たとえばコンサルからSaaSという領域にも広げようというフェーズでは、SaaS側にコンサルのキャッシュを投資していたので、投資分がなければその段階では会社全体でも個人でももっと潤っていたと思います。

しかし今後の将来性などで会社の現在の在り方について、関係者が共通理解を持ってくれていたという部分があると思いますね。

大久保：現状に留まらず推進していく、トップとして一番大事な仕事ですね。

幸松：あとは、経営層はもちろん新入社員として採用する人材も変化を嫌わないという人が多いですね。

やっぱり僕自身少しでも先を考えているという面はあると思います。

勝てるマーケットで戦うことが大切

大久保：起業家に向けて一言お願いします。

幸松：起業して間もないこれから起業していくというタイミングでは、世の中の流れは読むべきですが流行りには乗らない方がいいですね。負けるので。

もちろんよっぽどのアイデアや技術を持っていれば別ですが、コネもない・金もないと言う状態では確実に負けてしまいます。

自分たちが勝負できるマーケットを探さないと続けることができないです。

僕がISMSに乗り出したのはマーケットサイズがまだ小さかったから大手は入ってこないことがわかっていて、中小なら勝負して勝てるかもと思ったからです。

大久保：すでにニュースで取り上げられているマーケットなどは、流行りではありますがプレイヤーも多いですもんね。

幸松：ほとんどの人はお金もコネも技術もないというところからのスタートだと思いますので、勝負できるところを考えたり自分のプライベートの状況とのバランスを考えたりという所は非常に大事だと思います。

創業手帳別冊版「創業手帳 人気インタビュー」は、注目の若手起業家から著名実業家たちの「価値あるエピソード」が無料で読めます。リアルな成功体験談が今後のビジネスのヒントになるはず。ご活用ください。

（取材協力： LRM株式会社　代表取締役CEO　幸松 哲也）
（編集： 創業手帳編集部）