「設計時点からセキュリティに取り組めば開発コストが激減します」とか「セキュアプログラミングを行えば脆弱性がなくなります」といわれますが、最近では「それは理論的には正しいけどね……」と考えています。現実には、セキュリティ対策が開発の現場に取り込まれているケースはまれです。
確かに、日本でも最大規模のWebサイトを運営している会社では、セキュリティに対して積極的に取り組んでいて、プログラマに対してセキュアプログラミング・トレーニングの受講が課せられています。しかし、その取り組みが一般的になっているとは考えられません。もしこの取り組みが投資対効果に優れているのが明確であれば「当たり前」「みだしなみ」として多くの企業が取り組んでいるでしょう。つまり、ある程度の余裕がないとこのようなことは取り組むことができないのではないでしょうか。

ここで重要なことは、バランスです。言い換えれば「セキュリティアーキテクチャ」です。システム開発の世界ではアーキテクトと呼ばれる職種がありますが、セキュリティの世界ではセキュリティアーキテクトと呼べる職種はまだ存在しないようです。これは、人的セキュリティ、物理セキュリティ、上流工程、運用段階、関連企業などの全体を最適化する仕事ができる人材がいないという根本的な問題があるからでしょう。CISOがその任務を遂行するか、専門家を雇う必要があるのですが、これも現実とは遠くかけ離れた話です。
セキュリティを上流工程で行う考え方も、セキュリティ対策の1つです。発注から運用までを見通してコストと効果の最適解を見いだすセキュリティ最適化を行うことができるのであれば、セキュリティを設計や開発段階に組み込むことは可能ですが、全体の最適化ができない中では「やった方がいいよね」という程度を超えられません。結局、上流工程でのセキュリティ対策は、余裕のある企業が、リスクの更なる低減のためにしか行われないと考えられます。

「脆弱性根絶なんてできっこない」と嘆く前に (1/3)：セキュリティ、そろそろ本音で語らないか（13） - ＠IT

もっと決定的なことは「セキュリティをやっても高く売れない」という問題です。発注段階でセキュリティを盛り込みたいと思っても、セキュリティ要件を詳しく発注仕様書に書き込むと、高い見積もりが出てきます。そのため、発注側の都合で「セキュリティには十分に注意すること」「組織が認証取得していること」などの文言でお茶が濁されています。つまり、発注側が及び腰である以上、受注側はセキュリティを積極的に取り組んだからといって、請求金額に反映できないのであれば頑張りようがないのです。

「脆弱性根絶なんてできっこない」と嘆く前に (2/3)：セキュリティ、そろそろ本音で語らないか（13） - ＠IT