http://www.thinkit.co.jp/free/article/0611/2/5/
ちょっと内容が面白かったので。
設計段階からセキュリティ対策を行っていれば、セキュリティ検査が必要ないんじゃないかという人がいるのだけど、実際はそうじゃない。実装したセキュリティ対策がきちんと実装されているか、対策に漏れが無いかを確かめるために、どうしてもセキュリティ検査（セキュリティテストといったほうが良いかも）が必要となる。
これは、要求仕様どおりの動きをするかを確認するテストが必要なのと同じ理由なんだけどねぇ。