これまで、いくつかの開発会社やその現場を見てきましたが、その中にはセキュリティのことをあまり考えていない開発会社もありました。そういった会社は、セキュアなシステム構築への取り組みを会社として何もしていなかったり、セキュリティのことは設計者やプログラマの個人的なスキルに依存していることもしばしばです。

　中には「セキュアにシステム構築なんかしている場合じゃない」と社長自らが述べている開発会社もありました。セキュリティにはコストがかかるし、特別なスキルが必要という先入観からなのか、セキュリティのことは一切考えないという思考停止の状態に陥っているようにも見えます。

　そのような会社は、“何かが起きる”確率が小さいと考えているのかもしれません。もしセキュアな開発ができたとしても、明確に競争力があり、もうかるわけではない、というのが本音なのでしょう。

システムにセキュリティ的な問題が起きたとき、サービスを停止したり、システムの修正が必要になります。開発の要件に、明確にセキュリティ要件が含まれていなかった場合、そのコストは誰が持つことになるのでしょうか。

　瑕疵（かし）担保期間内であれば、無償で開発会社に修正してもらえるでしょう。開発会社との力関係にもよるかもしれませんが、追加コストを支払い、修正対応する場合もあるかと思います。しかし、サービスが停止している期間の補償まで受けられることは少ないでしょう。

ここ数年間で、安全なWebアプリケーションを構築するためのセキュリティ要件は明確になっていて、それを実施することで大半の攻撃を防げるのです。

　要件定義に使えるWebシステム／Webアプリケーション向けのセキュリティ要件は、無償で公開されていますので、新規の案件ならばすぐにでも活用できます。

いまのところセキュアプログラミングは、一部の有志による取り組みといったレベルにとどまっています。会社の方針としてセキュアプログラミングに取り組んでいる会社は、それほど多くありません。

　会社がセキュアプログラミングに取り組むようになると、コストは最終的に発注者が支払うことになります。しかし、これまでコストを投じていなかった開発会社が、セキュアプログラミングに取り組み、そのコストをすぐに発注者に転嫁するのは難しいかもしれません。

　「セキュリティは大丈夫なようにしておいてよ」と言えるためには、発注側がセキュリティ対策の必要性を理解し、適切にコストを積み上げることが必要です。 しかし、それが「あたりまえ」になるためには、まだ時間が掛かりそうです。

　安いけど速く走るだけで、安全でない車には現代の人はお金を出しません。しかし、衝突に強い車や、エアバッグなどのオプションにはお金を支払います。それは、人々が安全な車の必要性を理解しているからです。

　セキュリティにコストを投じないシステム発注者に必要なのは、安全なシステムの必要性を理解してもらうための啓蒙活動だと、私は思っています。