というわけで、セキュアコーディングではなくセキュアデベロップメントというものを推進してみたいと思うんだけど、具体的に何をすればいいのか検討していくことからはじめてみる。
開発工程では以下のようなものがあると思うんだな。

1. 要件定義
2. 設計
3. 実装
4. テスト
5. 運用

で、セキュアデベロップメントでは、それぞれの工程で、セキュリティを検討することになる。ただ、要件定義の段階でセキュリティを検討する必要があるのか?というのは未だにかなり疑問。
建築など他分野では要件定義で安全について検討することはそうそうないし、安全性については専門家にまるっきりお任せでも、最低限のものは検討してくれる。でも、ことITに関してはそうじゃないんだよなぁ、今のところorz
本来論から言えば、要件定義の段階で安全性について事細かに指定する必要はないと思うんだけど、現状では、指定せざるを得ないかなぁ。
理想論をいっていても仕方が無いので、要件定義で何をセキュリティに関して検討するかは、後ほど検討してみよう。