「先に防止」とは、ちょっと矛盾しているような話ですが、ITセキュリティの世界ではこれが非常に重要となります。なぜならシステムやアプリケーションに脆弱性があるかどうかは、専門家で無い限り外部からはわからないことが多いからです。そのため、システムでもアプリケーションでも、開発中にセキュリティ上の問題点を作りこまないための防止策として、設計段階からセキュリティに関する項目を要件に盛り込んでおく必要があります。

　万一開発時に脆弱性が組み込まれてしまった場合、それらの発見には多大なコストがかかる上に、修正には事前の対策に比べて10倍以上のコストがかかると言われています。また、万が一脆弱性を発見できず、情報漏えいに繋がった場合のコストは裁判費用や損害賠償費用など、更なるコストが追加されてしまいます。

これらを未然に防止できると考えれば、事前にセキュリティにかけるコストへの見方も変わるのではないでしょうか。

　最後に未然防止のためのガイドラインについては、OWASPが出しているものが広く知られていますので参考にしていただければと思います。

https://github.com/ueno1000/secreq