きょうび攻撃者が嫌がるのは，「バレること」「捕まること」「おカネがかかること」なんではないかと思う今日このごろ．
裏を返すと，攻撃者が好むことは「バレないこと」「捕まらないこと」「おカネがかからないこと」なんではないかなと．

「バレなきゃ捕まらない」なんてコトバがあるので，「バレない＝捕まらない」として，この部分をなくしていくためにはもうなんというか「監視」とか「検知」とかいうところを精度上げたり研ぎ澄ましていくしかない．このあたりはオレも興味あるところの研究分野．

あとは「おカネがかからない」という話をいかにして潰していくか？という話を考える必要があるのかなと感じている．要は「攻撃にかかるコストをいかに上げるか」ということ．この場合のコストは単純におカネだけの話ではなく，時間や工数もこのコストに含まれる．

変な話だが，大量の試行をするのに人手をかけさせるように仕向けるなんてのは，立派なコスト上昇の要因だ．人手をかけることで，時間もかかれば（人を使えば）人件費もかかる．法的な観点からも公序良俗の観点からもまっとうとはいえないけど，攻撃行為をビジネスと見立てるならば，ビジネスを遂行するための経費がかさんでもやるという判断は普通は行わない．

ユーザに手間はかけさせないけど攻撃に手間はかかるようにする，というのは，セキュリティの観点からはアリかなと考えます．

ちなみにこの検討，攻撃側の視点が不可欠です．オレが「攻撃側の視点をもって防御を考える」といってるのは，こういう話もあるからなのです．