昨日、散々毒づいたあとになって思ったのですが、もしかしたらここがポイントかもしれない、と思いました。

アクセス制御の強度ないし巧拙について客観的に判定する基準も存在しない。

会社のシステムを組んでる人なら、ある程度は制御の巧拙・強度を評価してるはずです。わかってる人は効率的なシステムを組むし、わからない人にシステム構築を任せると無駄なところに金をかけた非効率なシステムになるでしょう。

ただ、「客観的に判定する」基準は確かに存在しないと言えそうです。もしそんな便利な基準があれば、喫煙所で「ウイルス対策にそこまで金かけられるなら他に使い道あるじゃん」なんて愚痴を聞くはずがないと思います。

昨日ある研究者が見付けたばかりで未公開の脆弱性と、長年のあいだその筋で有名で、公開されてから２年以上経過した脆弱性とは、それなりに評価に差がなければおかしいでしょう。
また、公開された時期は同じでも、深刻な脆弱性は先に解消されるべきです。

このあたりの評価を客観的に行うための基準を、それなりの機関が作るべきだと思います。その中で、実験して良いテスト・そうでないテストの線引がされれば良いと思います。