「正しいCSRF対策、してますか？ | スラド デベロッパー」で#914146のAC氏がおもしろいこと書いてます。

CSS脆弱性界隈の人たちはどうして定量的なリスク評価しないんでしょうか。
算出は損害額×確率で、相対値でもいいからさ。
量は間違っていても、少なくとも量の正当性について意味ある議論ができる。
定性的な話だと、声の大きい方、小難しいクラック法より分かりやすい方が勝っちゃいます。
そして反論は人格攻撃で却下される(つーか名誉毀損ちらつかされてる。なんて未熟な業界だ)。
...後略...

やや煽り口調なのと内容がちょっとナイーブなのが難点ですが，最近考えていた内容が書かれていたんで，このスレッドツリーがどこまで伸びるのかが楽しみです。

セキュリティリスクの存在はエンドユーザ側や発注側に啓蒙する必要があると思うんです。しかし，ある脆弱性があった場合，

• その脆弱性（単体の脆弱性＋複数の脆弱性の相互作用）によってどのような危険性がありうるのか具体的なシナリオが書かれていないことが多い
• その脆弱性のリスクの大きさを相対的に見積もっていない（せいぜい影響のあるブラウザを列挙するのみ）
• その脆弱性への対策をおこなわなかったことによって事件が起きた場合，法的責任が誰にどれくらい帰属するのかについての議論が少ない

という記事が多い気がします（主観的ですいません）。なんというか純粋理論的な部分だけ専門家たちの議論がもりあがっているイメージがあります。
もちろん，具体的なシナリオを記述してしまうと悪用されるという危惧はわかりますし，技術的な解説の中で法的責任がうんぬんするのも守備範囲が違うといえばそうでしょう。ですが，たとえば XSS 脆弱性についての記事で「この textarea に window.alert() をいれると次の画面でダイアログが開きますよね」と書いただけでは一般人の心に届かないのではないでしょうか。

Google 先生に「セキュリティ，アセスメント」という言葉で聞くと，約20万件の結果がヒットするのでそれなりの供給があるとは思うのですが，彼らの仕事が業界に浸透しているようには思えません。井の中の蛙な自分ですが実際のところどうなっているんでしょう。

なんだか何を書いているのかよくわからなくなってきたので，自己中な主張を書きます。サイト構築をしていると，すべての脆弱性に対応するのはコスト的にどうなのよ，という場面にでくわします*1。もし，この業界でコンセンサスが得られているセキュリティリスクアセスメント基準があるのであれば，顧客に「最低限これくらいの対策をしなければ万一のときに社会的責任を問われますよ*2」「この対策をしない場合こういったリスクがありますが，可能性は非常に低いですし，御社が責任を問われることもありません。それでもやってくれ，ということであれば，高度な対策が必要となるので○○円上乗せになります」とか言いやすいなぁ，なんて。