http://www.zdnet.co.jp/enterprise/0306/04/epn09.html
今までこういった意識がIT技術者に無かったことが問題だと思う。まあ、これは多分にクリティカルに人命に影響しなかったことが原因なのかもしれない。IT以外の分野では直接人命にかかわることが多いので考えられる最悪の事態が起こっても被害が最小限になるように設計されているが（もっともNYのWTCにジャンボが突っ込んでWTCが崩壊したこと等のように想定しきれないこともあるけど）、ITの分野では納期や機能実装に追われて最悪の事態のことを考えて作られているものが少ない。
本来であればセキュリティ対策も必要な機能の一部であるはずなのにないがしろにされているのが現状だと思う。セキュリティ＝難しいもの、面倒なものという意識が多くの人に存在しているがこれを改める必要があるのではないか。全ての脅威を洗い出して、それを完璧（そんなもの無いけど）に対策することは難しいし、不可能である。しかし、必要最低限な脅威に対してであれば、対策はそれほど難しくないし、面倒でもないと思う。多くの場合、最低限の脅威とその対策についての知識、経験が無いが為にセキュリティ＝難しい、面倒という感じを受けるのだろうと思う。

一番の問題はバグは存在してあたりまえ、発見されなければバグではないという開発者の意識かもしれない（自戒せねば）。もっと、IT技術者は他の分野の手法を参考にすべきかもしれない。