http://techtarget.itmedia.co.jp/tt/news/0809/02/news02.html
うーん、これを読んで思ったけど、やっぱり、コーディングに起因する脆弱性とそれ以外では区別しなきゃいけないんではなかろうか。
コーディングに起因する脆弱性（SQLインジェクションとかXSS）は方法が面倒ではあるけれど、やり方がわかっている分、結構対策はとりやすいと思う。でも仕様とか設計に起因するものは、場合場合による＆漏れが発生することがあるので、かなり難しい。
で、仕様とか設計に起因するものはリスク分析による対策の検討が必要で、コーディングに起因するものは、やっぱり教育ってことになるのかな？
教育は教育で、底上げが難しいんだよなぁorz