セキュリティの要件を明確化すること、聞き出すことが難しいんですよね。本当に、これが肝だったりｗ

最初に，セキュリティ要件の定義を明確化し，できるだけ定量的に評価できるようにします。例えば，「外部から侵入できないこと」という要件であれば，「外部」とは何を指しているのかを定義する必要があります。社内LANの外側（インターネット）というネットワーク上の意味なのか，サーバー・ルームの外側という物理的な意味を含むのかを明らかにします。サーバー・ルームへの侵入も阻止する必要があれば，大がかりなファシリティ（建物などの設備のこと）の工事や場所の移転も考慮します。このとき，目的の確認を忘れないようにしましょう。上辺の要件に惑わされ，目的と外れた要素技術を選定しないようにするためです。