http://blogs.wankuma.com/tyappi/archive/2008/09/01/154896.aspx#FeedBack
発注側として、本当にセキュリティを意識する必要性があるのか？というのが最近考えるんだよねぇ。
建築業界（まあ、構造偽装とかあったけど）では、発注要件の中に、震度いくつの地震があっても倒れないこととか、火災が起こっても直ぐに全焼しないこととかってないよなぁと思ったけど、法律で決まってるかｗ
セキュリティ要件が必要じゃないというわけじゃなくて、受注側が考えて提示すべきなんだけど、工数とかそんなところにつながるからなぁ。結局、見た目、簡単な受け入れテストじゃわからないから手抜きしたところが、安い受注額でとってしまうというのが現実だよねぇorz

RFPの回答を受け取ったら、発注者はB.シュナイアーの5段階評価を考えればいいというのをもらった。
http://twitter.com/bugbird/statuses/905570077

1. 守るべき資産は何か
2. その資産はどのようなリスクにさらされているのか
3. セキュリティ対策によって、リスクはどれだけ低下するのか
4. セキュリティ対策によって、どのようなリスクがもたらされるか
5. 対策にはどれほどのコストとどのようなトレードオフが付随するか

http://winnie.kuis.kyoto-u.ac.jp/~okuno/Lecture/07/Ethics/Ethics-071221-Okuno.pdf
のも参照？

ふむふむ、確かに、RFPの回答にこういったことが考慮されているか？というのはチェックリストとしていい気はするが、受注側はセキュリティについて何も書いてなければ、こういったこと書かないだろうなｗ
結局、鶏が先か卵が先か？ってことになるのか？
書いてなかったら、再度こういうこと考えて作れといえばいいのか？->じゃ、最初から書いとけよって感じだけど･･･
書いてあったら書いてあったで、結構回答作るの難しそうｗ