セキュリティ機能に対する評価て目に見えにくい。
厳密にセキュリティを確保するとそれなりに工数というか金がかかる。
（フォレンジックサーバなんて買う金ないよね？）
だが実際に情報漏洩で賠償金を払う損失から比べるとそれらの1/10とかでなんとかなったりする。
そのため実際かけるに越したことはないのだがなかなか言いにくい。
「こんなアタックも防げる、こんなアタックも防げる」といって実際に使う要求機能外に工数をかけすぎるのもどうかと思うし。
（それよか機能を充実されろって言われかねない）
実際にセキュリティがおろそかでも顧客はOKを出してしまう可能性がある。
（顧客はセキュリティなんて出来てて当たり前でしょ？って思っている）
提案時にはセキュリティにかけるコストも一応見積もって起き、顧客と一緒にシステム的にどこまで適用するかを考えていく方針でよいかー。
（過剰すぎてコストかけすぎても顧客は嫌がるしね）
で実際WEBアプリケーションのセキュリティってけっこー難しい。
SSLはもちろん。Token生成、モデル層でのValidation、アクセス制限などアプリケーションでなんとかしなきゃいけない所が多すぎ。
お手本みたいな実装があると非常に助かるよねー。