昨日のネタなのだけど、リンク先に書かれているとおり、脅威モデルでRFPに書くのがいいだろうなぁ。第１回のSKUFでも話したけど、要件定義の段階で、各機能ごとに脅威を洗い出して、その対策を行うことということを入れるのがいいのかなぁ？
専門家たるIT技術者が必要なことを考えてくれないのなら、自分たちで考えないといけないという変な体質というのをほんとは何とかしないといけないんだけどねぇ。
そのためにはIT技術者にセキュリティという考え方を教育する必要がまだまだ足りないのかな？何とかしたいんだけどねぇ（ま、そのひとつの場を作るのがSKUFの目標の一つと個人的には思ってるんだけど）。