セキュアな設計に変えるには、第一に重要な点は、その製品がセキュアである必要性があると言うことを現場の技術者が理解することです。
人が動物を水飲み場に連れて行くことはできますが、水を飲むかどうかはその動物が水を必要としているかどうかです。
設計の管理職・リーダが会社の命令でセキュアな設計をしろと言うことはできますが、実際に最適な対策設計がされるかどうかは分かりません。
また脅威に対する対策設計を行うには、セキュリティ設計の考え方や対策技術を取得する必要があります。
それは、暗号であったり、認証であったり、従来の設計にはなかった技術要素であり、多くの技術者は新たに技術取得しなくてはならない事が多くあります。
ただでさえ、日々の設計の日程に追われ、少ない人数で設計を行っている技術者に、さらに新たな設計項目を追加して、新たに技術取得をしなくてはならないと言うのはかなりの負荷になります。
これに対応するためには、管理職、上司の理解が必要なのはもちろんですが、高いモチベーションが必要になります。
その高いモチベーションを引き出す鍵は、設計対象に含まれる情報資産の内で特に重要な守るべき情報資産を特定し、組織としてそれを共有することだと考えます。
その守るべき情報資産が奪われたり、書き換えられた時に、その製品ユーザやそれぞれの会社にどれだけの悪い影響が及ぶのかを正しく理解することです。
またその守るべき情報資産を攻撃する脅威を正しく理解することも重要となります。
つまり、その製品のまもるべき情報資産の重要性を組織として共有し、想定される脅威を正しく理解することにより、個々の技術者のモチベーション向上につながり、結果、現場の技術者も変わるのではないでしょうか。
それには、もちろん会社組織、管理職を含む技術者の上司がセキュリティの必要性ついて理解することが必要です。