山下：IPAは，公開鍵を公開するWebページをSSLで保護しています。SSLの証明書を確認すれば，確かに正しい公開鍵を手に入れたことを確認できるわけです。
セキュリティ・インシデント対応で考えなければならないのは，手元に届いた情報の真正性の検証手段。情報の出元は信頼できるのか，何かのわながかけられていないのかを見極める能力が問われる。特に公的機関を名乗るメールは，真偽の確認が必要だ。

山下：実はこの掲示板システムはオープンソースの出来合いのものを○○社が我が社向けにカスタマイズしたものなので，買い切りで保守に入っていないんです…。

山下：なるほど…。今回指摘されたぜい弱性はかなり初歩的な「プログラムミス」と言えると思います。もちろん要求仕様に不備があったという点ではウチにも責任はありますが，そんな基本的な問題点を残しておいたまま納品したということで○○社にも責任はあるのではないでしょうか。
小林：その点を主張して強く値引き交渉してみたらいいだろう。もし不調なら他社に切り替えを考えてもいい。
山下：了解しました。
　○○社との交渉の末，結局，○○社が当初提示した金額よりかなり低い金額で修正を請け負うことで決着した。