【#502】人と組織の情報リテラシーを高める。日本で一番身近なセキュリティ｜代表取締役CEO　幸松 哲也（LRM株式会社）

LRM株式会社　代表取締役CEO　幸松 哲也

日本で一番身近なセキュリティ企業を目指し、「人の情報セキュリティレベル」向上のコンサルティングとクラウドサービスを展開するLRM株式会社。独自の「セキュリティダイエット」で、過剰な対策ではなく、必要な情報を確実に守るバランスを追求しています。今回は、代表取締役CEOの幸松哲也氏に、事業への想いと今後の展望を伺いました。

社会を守るリテラシーを育てる。情報セキュリティを自分ごとに

事業の内容をお聞かせください

僕たちは、情報セキュリティに特化し、組織のセキュリティレベルを高めるためのコンサルティングと、人のセキュリティレベルを上げるための教育サービスを提供しています。

情報漏洩の多くは、人の不注意によって起きます。どれだけ高性能なセキュリティ製品を導入していても、パスワードが「12345」のままでは意味がありません。だからこそ僕たちは、人のセキュリティリテラシーを高めることに重点を置いています。

コンサルティングでは、各企業の実情に合わせた情報の取り扱いルールを策定しています。たとえば、録音したインタビュー音声の取り扱いや、ファイル保存場所の指定、パスワード管理の方針など、実務に即したルール整備を支援しています。

さらに、委託先の管理方法や、社内のセキュリティ課題の洗い出し、現場へのヒアリングなども行い、その結果を踏まえて改善案を提案します。

当社の強みのひとつは、正社員としてのコンサルタントを中心にしている組織体制です。この業界では、外部パートナーを中心とした体制をとる企業が多い中、当社は約20名の社員が在籍し、知見を活かしながら情報共有を行っています。毎年新卒も採用し、若い世代の感覚を活かせる体制を整えています。

教育面では、自社開発したクラウド型教育サービス「セキュリオ」を展開しています。eラーニング、マイクロラーニング、標的型攻撃メール訓練などを通じて、社員一人ひとりのセキュリティリテラシー向上を支援します。

なかでも効果的なのが、実際に偽メールを送る訓練です。引っかかってしまった社員にはその場でアラートを表示し、必要に応じて追加教育を実施します。これにより、「自分は大丈夫」と思っていた社員もリスクを自分ごととして認識するきっかけになります。

日本の企業は、業界によっては年に1度の情報セキュリティ教育を実施するガイドラインがあるため、単発で研修を提供する企業も多いです。僕たちは、年に1回では不十分だと考えています。大切なのは、継続的に繰り返し学び、知識を実践で使えるレベルまで引き上げることです。そうした意識で教育設計をしています。

事業を始めた経緯をお伺いできますか？

もともとはITエンジニアとして働いていましたが、20代後半の頃にコンサルタントに興味を持ちました。若手の自分でも勝負できる領域を探していたときに見つけたのが、情報セキュリティのコンサルです。

当時は、まだ個人情報保護法が施行される前で、注目度は高くないながらも、将来性があると感じてこの業界に飛び込みました。

当初は会社に所属し、セキュリティコンサルタントとして働いていましたが、上司の独立をきっかけに、自分も会社を辞めて独立することにしました。 ただ、実際に独立してみると、企業に属さない中立的な立場だからこそ、クライアントに本当に必要な提案ができるようになったと感じています。

この業界で19年以上活動し、僕個人だけでも延べ500社以上を支援してきましたが、情報漏洩の多くは、人の油断や不注意が原因です。ルールを整備しても、その必要性を理解していなければ守られません。

だからこそ、組織のセキュリティレベルを本気で高めるためには、まず人のセキュリティリテラシーを上げる必要があると考えるようになりました。

最終的に日本全体のセキュリティ意識が高まれば、情報漏洩を未然に防ぐだけでなく、社会全体の安心や幸福にもつながると考えています。そう信じて、今の事業に取り組んでいます。

セキュリティをもっと身近な存在に。完璧ではなく、確実に守る

仕事におけるこだわりを教えてください。

プロフェッショナリズムを大切にしています。仕事としてお金をいただく以上、素人のままではいけません。プロとして責任を持ち、成果を出すことが最低限必要なことだと考えています。

また、セキュリティ分野をもっと身近に感じてもらえるようにしたいです。セキュリティは難しそうとか、専門的すぎて相談しづらいといった印象をもたれがちです。専門用語を並べて難しく語るのではなく、誰もが気軽に相談できる雰囲気を大切にしています。

日本で一番身近な情報セキュリティ会社として、セキュリティを自分ごととして捉えてもらえるサービスを目指しています。

極論を言えば、セキュリティは完璧を目指すものではないと考えています。絶対に情報を漏らさないことだけを目的にすると、何も行動できなくなってしまうからです。情報は活用するためにあります。ある程度のリスクは織り込んだ上で、本当に漏らしてはいけない情報は確実に守っていける存在でありたいと思います。

起業から今までの最大の壁を教えてください

会社の残高がつきそうになったことがあります。本来は入ってくる予定だった資金をある程度見込んでいたのですが、取引先が飛んでしまい、支払いが止まりました。

社員の給料や、オフィスの家賃が払えないかもしれない状況となり、銀行から資金を借りてつないだ経験があります。もう二度と経験したくありません。

一方で、コンサル現場で大きくつまずいたことはあまりありません。担当者と相性が合わなかったり、細かい要望に苦労したことはありますが、それも含めて楽しめていました。僕は基本的に、なんでも面白がるタイプなので、大変なことにも前向きに取り組んでこられたと思います。

セキュリティダイエットを社会へ。バランスのとれた守りを届ける

進み続けるモチベーションは何でしょうか？

お客様の役に立っていると実感できることがモチベーションにつながっています。セキュリティはどうしても後回しにされたり、分かりづらいと感じられる分野ですが、自分たちが入ることでお客様のセキュリティレベルが上がり、「助かりました」と直接声をかけていただけることもあります。

そうした声が大きな励みになりますし、情報漏洩を少しでも減らしたいという思いから、社会に貢献できる仕事だと感じています。

一緒に働くメンバーの存在も大きいです。個性的なメンバーが集まり、関われる企業が少しずつ増えていくことは、やりがいを感じる部分です。

もともと働くことが好きで、学生時代からアルバイトなどで任されることも多く、自分で工夫することが好きでした。その姿勢は今も変わっていません。自分で考えて試してみて、結果が返ってくると、仕事は面白くなります。

もちろん、独立直後はかなりハードな時期もありました。毎日夜遅くまで働いていましたが、自分の力をつけたいという思いがあったので、苦に感じることは少なかったです。

仕事は、言われたことをただこなすだけでは面白くなりません。でも、自分で考え工夫できる環境があれば、誰でもある程度は楽しめるはずです。だからこそ、自分ごととして取り組むことが長く続けるうえでも大切だと思っています。

今後やりたいことや展望をお聞かせください　

今やっていることの延長になりますが、会社のミッションである「Security Diet（セキュリティダイエット）」をもっと広げていきたいと考えています。

セキュリティレベルを上げることはもちろん大切ですが、がんじがらめにすることが本質ではありません。きちんと守りながらも業務の妨げにならない、そんなちょうどいいバランスのセキュリティを多くの企業に届けたいと思っています。

SaaSについては、既存のサービスをさらに進化させ、セキュリティ知識を与えるだけでなく、正しい行動につながる仕組みを作りたいと考えています。なぜそのルールがあるのかを理解し、それぞれが自ら判断できるようにしていきたいです。

将来的には、SaaSの拡大とコンサルの拡張を進めていきます。コンサルは人が動く分、スケールには限界があります。100社対応するには100社分の人手が必要になりますが、SaaSであれば同じ仕組みを多くの人に届けることができ、より広く展開することが可能です。

とはいえ、SaaSだけではカバーしきれない現場の課題も多く存在します。だからこそ、SaaSで広く、コンサルで深く対応し、お客様への貢献度をより高めていきたいと考えています。

覚悟が力に変わる。起業と成長に必要なこと

起業しようとしている方へのアドバイスをお願いします

自己責任を持って取り組めるのであれば、起業に挑戦する価値はあると思います。誰にでも無条件でおすすめするわけではありませんが、やりたい意思があるなら、特に若いうちにチャレンジすることは貴重な経験になるはずです。日本経済にとってもプラスになると思います。

もちろん、簡単な道ではありません。実際、僕の周りでも起業して数年で事業をたたんだ人は多くいます。それでも、起業だからこそ得られる経験や面白さは確実にあります。

振り返ると、起業前に知っておけばよかったことはたくさんありました。経理や契約書の扱い、融資や補助金など、お金に関する知識は全くないまま始めました。こうした実務的な知識は、やってみて初めて気づくことが多いものです。

起業には困難も伴いますが、そのぶん得られる学びや成長も大きいと感じています。

採用において求める人物像を教えてください

新卒であっても、プロとしての意識を持って働いてほしいと考えています。最初は知らないことが多いのは当然ですが、お金をもらって仕事をする以上、努力し、それを成果としてアウトプットに結び付ける姿勢が必要です。

当社では、上から細かく指示を出すスタイルではありません。全員が自分で考え、主体的に動くことが前提です。もちろん最初はしっかりサポートしますが、基本は自分で考えて動けることを重視しています。

求めているのは、自責の姿勢で成長に向き合える人です。他人や環境のせいにせず、自分の行動に責任を持てる人。そして、与えられた仕事をこなすだけでなく、自分なりに工夫して取り組める人に来てほしいです。

社内の人間関係はフラットで、役職ではなく名前で呼び合う文化があります。年齢やポジションにかかわらず、お互いを尊重しながら、それぞれの役割を果たすことを大切にしています。

僕たちは、「日本のセキュリティを変えていきたい」という思いで事業をしています。その思いに共感し、自分もそこに貢献したいと思える人と、一緒に働けたら嬉しいです。

本日は貴重なお話をありがとうございました！

起業家データ：幸松 哲也 氏

徳島大学工学部卒業後、TIS株式会社に新卒入社、システム開発の提案から開発、運用保守まで担当する。その後、外資系IT企業、システム会社を経て2006年12月にLRM株式会社を設立、現在に至る。情報セキュリティコンサルタントとしてISMS、Pマークの取得支援企業は延べ500社を超える。同時に、7年間に渡りISMS認証審査機関において、主任審査員として審査業務に従事してきた。2020年3月に幻冬舎より「そのセキュリティ対策が会社を潰す」を出版。2021年より情報経営イノベーション専門職大学客員教員に着任。

企業情報