なんぞや。
お客さんとシステムの要件定義を進めているといつも必ずスタックしてしまうのが非機能要件のうちの、特にセキュリティ要件のところ。われわれが作ろうとしているのはＩＴシステムな訳だから、話してる対象のセキュリティとは当然「情報セキュリティ」になるのだけど、情報セキュリティの定義をたとえばＩＳＭＳ２．０の定義から引っ張ってくると

３．情報セキュリティ (information security)
情報の機密性、完全性及び可用性の維持。

「ISMS認証基準(Ver.2.0)について」から引用（http://www.isms.jipdec.jp/ISO27001.html）

と書いてある。じゃー機密性とは何で、完全性とは何で、可用性は・・とか情報セキュリティの定義の要素部分を全部展開していくと、行き着くところは今考えている非機能要件の全て、ということになってしまって「セキュリティ要件」として独立した項目を定義することが出来なくなる。で、多分独立した状態として定義されないそれ（情報セキュリティ＝システムの非機能要件の全て）は、ＩＳＭＳの定義上は正しい情報セキュリティ要件の定義になるような気もしないでもないのだけど、それだとなんとなくお客さんも我々もわかったようなわからないような気分になって納得できない。ていうかお客さんもベンダも「我々はセキュリティに関して検討した」という記録を残して置きたいので要件定義書内に「セキュリティ要件」という項目は作っておきたい。

だもんで、システムの要件定義の際「セキュリティ要件」という項目はとりあえず用意されるんだけど、なんとなく出来上がった中身の定義は曖昧って言うか定義の絞れていない良くわからないものになりがち。

じゃー、情報セキュリティのうち機密性のみに絞ってそれをセキュリティ要件として独立して定義する・・となると、今度は一般的になんとなくセキュリティ要件だと考えられているログファイルの完全性の確保であるとかが定義からあふれてしまう・・
あ、あれ、そうか？アクセス監査の運用が正しく行えるようログファイルが一定期間保管されることは機密性の維持の一環と出来るし、セキュリティパッチを適用する運用も正当なアクセス認可を得ずにシステムにアクセスできる可能性を排除する方法として機密性の維持の一貫になるのか。

なーんだ！使えるじゃん「セキュリティ要件＝ＩＳＭＳ（もしくは該当のＪＩＳ）の定義するところによる情報セキュリティうち、機密性の維持に関する要件」という定義。
これはいいことに気づいた。次から「セキュリティって具体的には何のことかね？」と聞かれたらとりあえず「ここでは、ＩＳＭＳの用語としての情報セキュリティの定義の３要素のうちの１つ、機密性の維持に限定した内容です」と答えることにしよ。

て、いや、やっぱり分かりづれぇ。
となると、要件定義項目としていわゆる「セキュリティ要件」というのを用意したがる今の世間一般ていうか我々の常識が悪いということになるけど、気持ちを入れ替えてもたとえば「機密性要件」とか言う名前の、世間一般の常識からするとちょっと仰々しすぎるんじゃないのー？という項目を用意しなきゃいかん羽目になって「そんな偉そうな名前じゃなくて、単にセキュリティ要件とかにしたほうが良いんじゃないの？（藁）」と物知り顔で言うお客さんあるいは同僚にまたISMS/JISの定義で言うところの情報セキュリティとはなんぞやから訥々と説明して・・となって面倒くさい。

という、論旨のまとまらない会話を延々とお客さんと繰り広げなくてはならないセキュリティ。なんちゅうか誰かもっとわかりやすくて世間一般の認識に合った我々ＩＴエンジニアのための「セキュリティ」の定義をオーソライズしてくれないもんかね。