2019年2月14日に行われた、株式会社ブロードバンドセキュリティ2019年6月期第2四半期決算説明会の内容を書き起こしでお伝えします。IR資料

スピーカー:株式会社ブロードバンドセキュリティ 代表取締役社長 持塚朗 氏

業績サマリー

0003

持塚朗氏:持塚朗でございます。それではただいまから、ブロードバンドセキュリティの上半期決算の説明を差し上げたいと思います。

まず、業績サマリーです。売上高は17億700万円で、計画に対して1,000万円ほど少ない結果となりました。一方、その分売上原価も抑制されまして、販管費・一般管理費は予定よりも多かったのですが、営業利益ベースでは(計画に対して)100万円のオーバーとなりました。もともと赤字の計画でしたので、予想どおり赤字で終わったという状況です。

販管費が予定より多かった理由としては……私どもはいま、中長期の計画の中で、さらなる売上の拡大を目論んでおりますが、私どもの事業の性格上、人がすべてといいますか、人による役務提供型のサービスが非常に多いです。みなさまもご存知だと思いますが、昨今、人手不足ということで、実はこの2年半、非常にアグレッシブに人員を拡大してまいりました。

これはすべて固定費でして、当然、計画立案の際には増分を含んでおりましたが、それ以上にアグレッシブに採用を実施した結果、人件費が増えたというのが、非常に大きな理由です。それ以外にもいくつか細かな理由はありますけれども、ここのところが若干計画をオーバーしてしまいました。最終利益につきましては、計画を達成いたしました。

いずれにしても、私どもの業績は第3四半期、いまのこの1-3月期のピーク性向が非常に高く、そして(第3四半期のうちに)できなかった分が、そのまま第4四半期に売上として計上されていきます。上(期)・下(期)でいきますと、下(期)に偏重ということでありまして、この赤字につきましては、経営的には計画の範囲内であり、特段大きな問題とは捉えておりません。

特筆すべき事項としましては、私どもの事業は、セキュリティ監査・コンサルティング、脆弱性診断、情報漏洩IT対策という3つのサービスに分けられますが、なかでも脆弱性診断につきましては、あまりお話しできませんけれども、実は今日時点で、すでにこの3月までの受注については、完全にストップしております。すでに、捌き切れない状況です。

それ以外のサービスにつきましても、前々から第3四半期(1-3月期)に偏重する傾向はありましたが、今年はなぜかその傾向が特段強く、いま現場では大変なピークを一生懸命こなしているという状況です。

業績サマリーでこのほかに特筆すべきこととしましては、情報漏洩IT対策サービスについてです。こちらは計画を下回っておりますが、これは、このサービスの中でスポット売上を見込んでいたメール訓練サービスの売上が上がらなかったためです。

メール訓練サービスは、偽のメールを送って何人開けてしまったかということを調査する、いわゆる開封率調査というサービスです。このサービスで、(2018年)12月に予定していたスポット的なものが、予定どおりに売上が上がりませんでした。これにつきましても、経営的にはそれほど問題視しておりません。

簡単な説明になってしまいますが、以上が概要です。あまり面白味のある内容ではありませんが、いままでと比べても、前年と比べても、売上は若干のオーバーということで、今期の決算に関しましては、この第3四半期(1-3月期)と第4四半期(4-6月)、つまり下期を予定どおり進めることができるかどうかが勝負だと捉えております。いまのところ、受注につきましては予定どおり推移しておりますので、とくに計画を変更する段階ではないと判断しております。

貸借対照表サマリー

0004

貸借対照表のサマリーです。こちらは、昨年(2018年)9月26日に上場したこともありまして、そのときの増資分による資金調達により、若干ですが自己資本比率が上昇しまして、財務体質がいままでに比べ、若干ですけれども強固になったという状況です。

雑駁な説明ですが、以上が業績関係の話になります。

会社概要

0006

ここからは、会社概要やサービス内容になります。いままでに何回かご説明しておりますので、このあたりは簡単に説明しまして、最後に最近のトピックスについて、少しお話ししたいと考えております。

会社概要は、(スライドに)書いてあるとおりです。ここには(従業員数が)186名と書いてありますが、今日現在は188名です。先ほどいいましたように、2年半で60人の人員を増やしております。ただし、よく勘違いされるんですけれども、一定スキルのあるセキュリティのエンジニアを60人採用したということではありません。そもそも絶対数がいませんし、流動しませんので、そんなことはできません。

この2年半で採用した60名は、一応ITの業界にいて、プログラムの開発経験やネットワークの構築経験があり、これからセキュリティのエンジニアをやってみたい人。あるいは、まだ本当にIT初心者ですが、セキュリティエンジニアを志す人。こういう人たちを中心に、採用してまいりました。

経営的には、彼らが一人前のエンジニアとして十分に稼いでいるという状況ではございません。まだまだ教育段階にありますので、本当に彼らが1人で全部仕事ができるようになるまでには、やはり最低でもあと2年ほどはかかるのではないかと(思います)。

そのため、人員採用につきましては、今年からはかなり抑えて、採用した人を戦力化することを第一の優先課題にしております。それでもところどころ、「やはりどうしてもこういう人材が不足する」あるいは「本当にいい人がいた」という場合には、もちろん採用しますけれども、基本的にはいままでのようなペースではなくて、いまいる人をまず活かす。十分に教育して一人前に育てあげるというところに、いま会社として注力しております。

ブロードバンドセキュリティ(BBSec)とは

0008

事業内容について、若干補足いたします。セキュリティ監査・コンサルティングサービスは、文字どおりのサービスなんですけれども、実はこのサービスの売上の8割は、クレジットカードデータを取り扱っている会社向けのサービスです。残りの2割が、いわゆる民間のエンタープライズ企業向けのコンサルティングサービスです。

なぜ8割も、クレジットカードデータを取り扱っている会社が占めているかといいますと、私どもは会社として「PCI DSS」という、ワールドワイドの監査資格を持っております。これは、クレジットカード業界特有の監査資格で、もちろん日本に限らず他国の会社でも監査ができる資格です。そういう意味で、ワールドワイドな資格なんですけれども、これを保有しておりまして、この(クレジットカードを取り扱う会社の)売上が圧倒的です。

ただし、ここ半年で民間企業のセキュリティ・コンサルティングの案件が増大しておりまして、徐々にエンタープライズ(企業)の比率が増えているという現状です。

そして、脆弱性診断サービスは、実は8割がWebアプリケーション診断です。Webアプリケーション診断とはどういうことかといいますと、いわゆるWebサイト……ECサイトですとか、どこのサイトでもいいんですけど、普通の企業サイト。このサイトに、脆弱性と呼ばれるセキュリティホールが、あるかないか(を診断するものです)。

もう少しいいますと、例えばSQLインジェクションという脆弱性がある場合には、そこから中に入って、うしろのデータベースから情報を抜くことができますので、そういった重大な脆弱性が潜んでいるかいないか。あるいは、クロスサイトスクリプティングですとか、いろいろな脆弱性があるんですけれども、そういったものを健康診断的に一覧表にして、可視化するというサービスになります。

従来はこれ(Webアプリケーション診断)が8割ほどありまして、いまも直近はそれくらいですが、最近はこれ以外の診断が増えてきています。これからいくつか新しいサービスも発表させていただきますが、例えば最近ですと、IoT関係の診断ですとか、ビルのITにまつわるいろいろな脆弱性の診断、工場の診断、スマホの診断などがあります。いわゆるWebアプリケーション診断以外の可視化のサービスの売上が、いま少しずつ増えてきています。

ここは、先ほど申し上げたように3月が最大のピークですが、おかげさまで(今年度は)過去最高の売上を更新する見込みとなっております。ただ、もちろんこれはきちんと作業を終えて納品をして、お客さまに納得してもらったらということなので、いまはとにかく一生懸命、作業しているという状況です。

最後に、情報漏洩IT対策サービスです。こちらは本当にITのサービスです。コンサルティングを行い、可視化をして、悪いところがわかり、ではどういう治療を施したらよいのかというサービスです。

例えば、ECサイトに、いま申し上げたSQLインジェクションという脆弱性があった場合、脆弱性が見つかったとしても、お客さまはECサイトをクローズして直すことはできません。機会損失にもつながりますし、ほかにもいろいろ影響が出ますので、プログラムはそう簡単に直せないのです。

そこでどうするかというと、対処としましては、ECサイトの手前にWAF、つまりWebのファイアウォールを置いて、SQLインジェクションという攻撃トラフィックが来たらそれを排除して中に入れないというように、WAFというセキュリティデバイスを入れて運用するというのが、目先の対処法になります。このようなサービスをほぼ24時間365日提供しているのが、この情報漏洩IT対策サービスになります。

(スライドの図の)上の2つ(セキュリティ監査・コンサルティングサービスと脆弱性診断サービス)は、100パーセントではないんですけれどもほぼスポットです。一番下(情報漏洩IT対策サービス)が、いわゆる毎月お金をいただく仕事といいますか、だいたい2年契約や3年契約などで、なおかつ月々請求を差し上げて、対価をもらい受けるというサービスモデルになっております。

私どもにとっては、この一番下(情報漏洩IT対策サービス)の売上が積み上がってくると、経営的にはものすごく楽になります。なぜかというと、ほか(のサービス)はゼロクリアです。どんなに大きな注文をいただいても、完了してしまったらクリアです。このところのデータですと、脆弱性診断は前年のお客さまの7割がリピーターなので、現実にはゼロではないんですけれども、商いの行為としてはゼロクリアされます。

情報漏洩ITサービスはストック型で、取れば取るだけ安定してくるというようなサービスですので、この売上をとにかく上げていくことが、経営の安定化と、なによりも高収益な企業に生まれ変わらせるために不可欠です。このため、会社としては情報漏洩IT対策サービスの拡大に力を入れておりますが、ここはSIerさま等が非常に多く、一番コンペジターが多いサービスです。

上(セキュリティ監査・コンサルティングサービスと脆弱性診断サービス)は、プレイヤーの数は極めて限定的でして、日本に4~5社しかありません。なおかつ、いまいったように、診断なんていうのは私どもももう3月はできませんが、競合他社さんも全部できませんので、結局営業行為としては、そんなに大変な思いをして勝ちとる必要があまりありません。

一番下(情報漏洩ITサービス)は、毎月お金をもらうというサービスであるがゆえにというか、技術的なサービスになりますので、一番競争が厳しいサービスという状況です。

高い技術力

0010

技術力のところで、公的な資格取得者の人数を載せております。なかでも「QSA」というのは、先ほど申し上げた「PCI DSS」という、クレジットカードデータを扱っている会社のセキュリティの監査をするワールドワイドの資格。これが「QSA」と呼ばれていまして、この資格を持つ技術者が私どもの会社にはいま26名おります。

公表されたデータがないので100パーセントではありませんが、一応、どうやら(当社の「QSA」人数は)日本では一番多いと認識しております。我々の上位機関に聞いたところ、この保有人数については当社が一番多いと伺っております。

クレジットカードデータを扱っている会社というと、みなさんはそのカード会社だけ(が監査対象)かとご認識されるかもしれないんですけれども、そうではありません。クレジットカードデータを扱っている会社ですから、例えば決済代行業者やデータセンター、あるいはコールセンターなども、すべて対象になります。

ですから、実はみなさんがお考えになるよりも対象企業数は多くありまして、業種もさまざまです。いまですと、例えば旅行代理店さんです。クレジットでエアチケットを買われる方が多いので、経産省からはここも取得をしなさいということで、マストではありませんが、指導が出ているような状況です。

とくに最近は、これもみなさんよくご存知だと思いますけれども、QRコードを利用したキャッシュレス決済が、ものすごい勢いで伸びています。コマーシャル等もバンバン流れておりますが、実はあれも、100パーセントではありませんが、裏ではクレジットカードのデータで決済をするケースが非常に多いです。そこで、QRコードを使ったキャッシュレス決済についても、いま新しいサービスを準備中でございます。

業績概況

0011

業績は、すでに何回も申し上げたように、今日やはり株価が下がっていますが、私どもとしてはもう本当に、予定どおりの業績だと認識しております。今後、第3四半期以降で、発表した経過が本当にできるということを実証していくしかないかなと考えております。

今後の戦略~自動化×人材による収益性向上

0012

よく質問されることの1つに、収益性があります。「収益率が低いが、どうやって上げるんだ」というお話です。また、IT業界にいますので、「人材の採用は大丈夫か」というご質問もいただきます。

まず、収益性の向上につきましては、この(スライドの)上のところに少しだけ書いてあるんですけれども、実はいま、AI、そしてRPAを使って、いろんな業務の自動化をガンガン進めております。

いままで人が1人でやってきたこと、1日8時間かかっていたことを、あるものについては半分で、あるいは2時間でできるように、システムをつくっては入れ、つくっては入れということをやっているところです。これにより、先ほどすこしいいましたように、あまり人を増やさないでトップラインを上げていくことができる体質にすべく、いま一生懸命取り組んでいます。

また、人材の問題については、そうはいってもずっと採用ゼロというわけにはいきません。かといって、東京ではやはりなかなか採れません。採用はいままで非常に苦労しました。ただ、ここに来て若干(状況が)変わってきまして、私どもの仕事の一部を地方でやろうと考えております。

1つは秋田です。2020年4月から事業所を開いて、一部の仕事を秋田で行うということを考えております。そのために、実は私どもは昨年(2018年)10月からずっと、国立秋田大学で、セキュリティ講座の授業を持っております。まず学生さんにセキュリティのことをわかっていただき、興味を持っていただき、できたら何人かにそのまま働いてもらえるようにということで、もう半年間授業をさせていただいております。

また、秋田に限らず、地方にUターンしたい方々が首都圏に相当数いるということがわかってきました。Uターンしたい方々のためのフェアを秋田県が主催しまして、私どももブースを出したところ、IT関係で(地方に)戻りたい人も、すごく優秀な方がかなりの数いらっしゃいました。ただ、秋田に仕事がないので、帰りたいけど帰れなかったということでした。

私どもは、秋田でも給料は本社と全く変わらないということを標榜しております。いまこちら(首都圏)で稼いでいるお金(給料)を、秋田でもそのまま維持しながら、仕事していただくことが可能ということで、けっこう人が採れそうだと(考えています)。

また、今年(2019年)10月以降は、国立山梨大学の工学部の授業も受け持つことが決まりました。ここでもまたセキュリティの教育をやっていきます。どうやら日本では、各大学の工学部あるいは情報処理の学部・学科の中で、セキュリティを教えられる人がいないということがわかってきました。

もちろん有名な先生がいる大学はいくつかあります。でも、いくつかなんです。本当にもう数えるほどしかいなくて、「セキュリティやってます」といっても、だいたいご専門が暗号化などでして、我々がやっているようなセキュリティ、つまり情報漏洩を防止するためのセキュリティとは少し違うんですね。

このようなことから、強い要望もいただいておりますので、今後は大学で授業を受け持つことで興味を持っていただいて、その中から学生さんを……我々はたくさんはいりませんので、何人かを採用できればと考えております。

今後の展望

0013

こちらは、事業概要として先ほどご説明したとおりですが、(スライドのグラフの)上がスポットのコンサルティング・(セキュリティ)監査と(脆弱性)診断、下が情報漏洩IT対策サービスです。

ここ(ストック型ビジネス)は、売上が増えても、人はいくらも増やさなくていいんです。というのは、まずマシンの稼働率がまだ半分ほどなので、稼働率としてはあまり高くない。つまり、投資はいらないということです。また、先ほどいいましたように、人を増やさなくても運用が回るように、相当お金をかけて自動化を進めておりますので、まだまだお客さんを収容できます。

ここ(ストック型ビジネス)の高さが上がってくると、経営的には非常に助かるということで、いま一生懸命取り組んでいるところです。

最近のトピックスのご紹介

0015

サービスの説明は以上にしまして、最後はトピックスになります。スライドには、上場後の(2018年)9月以降に発表させていただいたものを、いくつか羅列しております。とくに9月のものについては説明済みですので、そのあたりは少し省きます。

一般社団法人 日本ハッカー協会に賛助会員登録

0017

この日本ハッカー協会のところは、一言申し上げておきたいと思います。元ネットエージェント株式会社で、その後、株式会社ラックにほんの少しの間在籍されていた、杉浦(隆幸)さんという、日本を代表するハッキングエンジニアがいらっしゃいます。先般も某攻撃用IPアドレスを特定したということでニュースにもなった方です。

なにかインシデントが起きると取材に応じてテレビに出られている杉浦さんという方がいらっしゃるんですが、その方が日本ハッカー協会を立ち上げまして、そして我々も業務委託の一環で一緒に仕事をさせてもらっています。

彼の考えは、ハッキングエンジニアの地位を向上させたいということで、実はこれ(日本ハッカー協会)は人材斡旋業なんです。ここにエンジニアが登録します。すると、ハッキングができるエンジニアが欲しい会社が、紹介してくださいといいます。そして就職が決まると、この日本ハッカー協会に手数料を払います。

このように、日本ハッカー協会というのは人材斡旋業なのですが、私どもはいの一番に入会したこともあって、非常に安い手数料でご紹介いただけることになっております。

株式会社JSOLと業務提携

0020

(2018年)11月28日に、株式会社JSOLと業務提携をいたしました。JSOLさんは、三井住友フィナンシャルグループとNTTデータの合弁の、非常に立派な会社です。やはりセキュリティは、もはや情報システムマターではなく、経営マターなんです。経営者がどこまで重要情報を守らなきゃいけないという認識を持つか、その1点です。

したがって、情報システム部長が限られた予算の中でここまでしかできませんといっているというようなフェーズはもう終わっていまして、経営者がどこまでやらなきゃいけないかを決めるという時代です。だからこそ、総研会社のように上から入っていると、うちが下からいってもなかなか難しいものがあります。

以前から、そういったコンサルティングをやっているコンサルファームと提携をすることを考えており、コンサルファームでセキュリティの機能を十分持ってない会社に、「そこをうちにやらせてください」というオファーをいくつかしていました。そのうちの1つがJSOLさんで、うまいこと業務提携(に至りました)。この提携はさらに深めていきたいと考えております。すでに大きなお客さまが2社ほど決まったところです。

いままで私どもの直販の営業がちょろちょろ売りに行って売ってきたのとは、やはり単位が変わりますので、このコンサルティングファームとの提携については、第2弾、第3弾ということで、いまいろいろとお話しさせていただいているところです。ここはさらに拡大したいと思っております。

セキュリティログ分析・活用支援サービスを拡充

0022

セキュリティログ分析・活用支援サービスの拡充についてです。いまセキュリティで非常に重要視されていることは、パソコンにいろいろなソフトを入れることです。エンドポイントを守る、いろんな入り口にいろんなセキュリティデバイスを置いて、マルウェアの侵入を防ぐなど、さまざまなことやられるんですけれども、やはりなかなか100パーセントになりません。

ところが、例えばみなさんがメールの添付ファイルをクリックしてしまったとしても、すぐに情報を取られるわけではありません。あれは、クリックをすると、クリックしたというデータが攻撃者に届きます。「あ、クリックしてくれた」ということで、攻撃者はそれを知ったあとに、今度はパソコンを乗っ取りに来ます。

しかし、乗っ取りに来たところで、例えばみなさんのパソコンが、会社の重要情報が入っているファイルをすぐに覗ける権限を持っているとは限りません。例えば僕のパソコンを乗っ取れば、当社の重要情報には、全部じゃありませんが、ある程度はアクセスできますけれども……どの会社も同じで、乗っ取ったからすぐに重要情報が抜けるかというと、そんなことは全然ありません。

ですので、例えば、一定期間ほかのパソコンも感染させながら、入れるパソコンを探すパターンもあれば、乗っ取ったパソコンのいろんなID・パスワードを変えて、中に突入を試みるパターンなど、いろいろなパターンがあります。

いずれにしても、みなさんが仮に(メールを)クリックして開けたとしても、情報漏洩を起こすまで一定期間あります。これもう、長い場合には半年ということもありますし、短くても1ヶ月ほどはあります。

みなさんがよく知っている(日本)年金(機構)さんの場合は、クリックしてしまってから、確かちょうど1ヶ月ほどだったのではないでしょうか。やはりそれくらいかかります。だったら、クリックしても、情報漏洩さえ起こさなければよいのではないか。家に入られてしまったけど、何も取られないのならよいということです。

入られたということをすぐに認識すると、「このパソコンは、普段アクセスを試みないファイルに、一生懸命いろんなパスワードで何回もアクセスしてるぞ」ですとか、あるいはほかのパソコンを乗っ取ろうとして、「普段このセグメントとこのセグメントの間に夜間の通信なんかまったくなかったのに、急に変な通信が現れたぞ」とか、いろいろなトラフィックが顕在化します。

ただ、これは目に見えません。目には見えないので、そういうものを目に見えるようにして、会社のトラフィックを常に全部監視して、いわゆるアノマリーと呼ばれる異常行動をすぐに見つけて、そして情報漏洩を起こす前に対策を講じる。それが、このセキュリティログ分析・活用支援サービスになります。

実は、ここの引き合いがこのところ急激に増えてまいりまして、この3月も大型の納品が控えています。私どもとしては、いままでも当然サービスとして提供しておりましたが、なかなか経営的にそこまでの判断される会社はありませんでした。ここに来て急激に、実施したいという会社が増えてきたように感じております。

エンドポイントセキュリティ運用支援サービスを開始

0023

最後は、直近で発表させていただきました、Carbon Blackというエンドポイント(セキュリティ)についてです。エンドポイントとは、要するにみなさんが使われているパソコンのことです。会社で使われているパソコンに、必ずアンチウイルスのソフトが入っていると思います。いままでですとトレンドマイクロやシマンテック、ESET、カスペルスキーなど、いろんなものが巷にあると思います。

実は、セキュリティのマーケットで一番大きいのはここです。FFRIさんの「yarai」などもここのマーケットになろうかと思いますが、ここはものすごく大きなマーケットです。私どもは、ここに参入してもなかなかしんどいなということで、いままでやってきませんでした。

ただ、いままでの製品は、検知率が半分以下でした。ものによりますが、30パーセント台のものも相当数あって、「ないよりはあったほうがいいかな」程度のものだったんですが、ここに来て8割を超す検知率のものが出来てまいりました。

なかでも高く評価しているのがCarbon Black社で、細かい技術的なことはいいませんけれども、このエンドポイントのアンチウイルスは、100パーセントではありませんが、いままでよりも格段に検知率が上がっております。

ただし、これを自社で完全に運用しようとすると、やはり24時間365日の体制を組む必要があります。そこで、そこは代わりにうちがやりますよというのがこの(エンドポイントセキュリティ運用支援)サービスです。

リリースしてからまだそんなに日は経っていませんが、おかげさまでいま引き合いをたくさんいただいておりまして、おそらく何社かは成約するのではないかと目論んでおります。

雑駁な説明ですが、以上で説明を終了したいと思います。

記事提供: