セキュリティ要件定義

システムに対する潜在的な脅威を体系的に特定・評価する手法。STRIDE分析やアタックツリーなどの手法を用いて、システムの企画・要件定義段階で脅威を洗い出し、セキュリティ要件の定義に反映する。

攻撃者がシステムに対して攻撃を仕掛ける可能性のある全てのポイント（入口）の総称。ネットワークポート、API、Webフォーム、ユーザーインターフェースなどが含まれ、アタックサーフェスの最小化がセキュリティ設計の基本原則となる。

システムの企画・設計段階からセキュリティを組み込む考え方。後付けでセキュリティ対策を追加するのではなく、開発ライフサイクルの初期段階からセキュリティ要件を考慮することで、コスト削減と高いセキュリティ水準の両立を図る。

システムの設計段階からプライバシー保護を組み込む考え方。カナダのアン・カブキアン博士が提唱した7つの基本原則に基づき、個人情報の収集最小化、利用目的の限定、データの匿名化などを設計に反映する。

施設やオフィスを情報資産の重要度に応じて複数のセキュリティゾーンに分割し、ゾーンごとに異なるレベルの物理的セキュリティ対策を適用する手法。一般エリア、管理エリア、サーバルームなどに分け、段階的にアクセスを制限する。

システムの企画・設計段階からセキュリティを確保するための方策を組み込む考え方。後付けでセキュリティ対策を追加するのではなく、開発プロセスの初期段階からセキュリティを考慮することで、より効果的かつ効率的な対策を実現する。