「今回の件は、過失や重過失に類するものではない」――穐田社長は、同社のセキュリティ対策は
問題がなかったと強調した。「OSのパッチはあてており、外部のセキュリティコンサルタントも
入れるなど、できる限りの対策をしていた。しかし結果として“最高の対策”とは呼べない部分は
あったと思う」（穐田社長）

・・・・

不正アクセスの手口は「判明している」（穐田社長）としながらも「類似犯罪のヒントとなる情報は
出したくない」と、詳細は明かさなかった。SQLインジェクションによるものだったする一部報道に
ついては「私どもから発表した事実ではない」（穐田社長）と、肯定も否定もしなかった。

結局最後の絞めは、良くない対応になるのかな。
否定してないから、SQLインジェクションだったのでしょう。
ようは、「私どもが発表したものではない」と・・・なんか逃げてるな。事実を認めたら、「なにが最高のセキュリティだ」って言われるのがオチだからかな。
IPAからの発表を待ってみるか。

穐田社長は今回の件を「言い方は悪いかも知れないが、地震にあったようなもの」と例える。
「地震に本当に危機意識を持っているのは、被害にあった人だろう」（穐田社長）

同社は、警視庁「総合セキュリティ会議」の委員を務める伊藤穣一ネオテニー社長など専門家3人から
なるセキュリティ対策委員会も設置し、ラックに技術支援をあおぐなど体制を強化。セキュリティ
専門要員も雇用する予定だ。「セキュリティ対策に100％はないと痛感した。技術も日々進化する。
対策に終わりはない」（穐田社長）

こんなことを今ごろ痛感してるのでは、セキュリティ対策もたかがしれてるかなと・・・
人気サイトのサーバへの攻撃はすでに日常茶飯事・・・地震なんかと比べ物にならないほど発生頻度も多いし、脅威レベルも高い。地震なんかに例えていること自体ダメダメ・・・

セキュリティ対策はコストとのバランスは取る必要があるけど、このような人気サイトでビジネスをしているサイトでは、セキュリティ対策のコストは結構積んでもいいじゃないかなと思う。
ビジネスが止まって補償するコストとセキュリティ対策にかかるコスト。
今回の件は結果的に、
　　ビジネスが止まって補償するコスト＞セキュリティ対策にかかるコスト
じゃないかなと思う。特に左辺のコストの補償するコストは、調査費、その後の対策費、お客さんへ対応するための費用などが加わるから、左辺＞＞右辺かもしれない。
脆弱性の手口よりその攻撃への対策方法を出してほしいかな。
そして、このかかったお金あたりの情報を詳細に出してほしいかな・・・いままで出してるところはなさそうだけど。
過失があるかどうかは僕にはわからない。けど、上記の想像が正しければ、リスク評価の判断が誤っているってことになるのだろうな。いまさらセキュリティに100% はないことを痛感してるような会社だしな・・。
スラドの中でこんなものもあるし。http://slashdot.jp/comments.pl?sid=255839&cid=735814

これが真実だったら、会社としての根本的な危機意識（情報セキュリティ意識だけではなく、もっと上層の経営リスクに対する意識）に問題があるかと・・・そして発表内容は偽りだらけ。
かつ、この会社、被害者ヅラばかり強調して、自分のWebページで利用者へウィルスをばらまいた加害者という意識が欠けている。