要件定義でセキュリティを考えるとすると、この段階では何をする機能を実装するのか?運用はどうするのか?といったことが具体的に決まってないと思われるので、「何を守ればいいのかわからね〜」ということになりがちだと思う。
かといって、開発委託先に「セキュリティもお願いね」といわれても、現状委託先は委託先で、「お金もらわんとできねぇよ」ということになってしまうのかなぁ?と思うんだな。かといって、お金は出せないし･･･ということで、とりあえず、動くもの作ってねとなって結局セキュリティ対策がなされていないものができてしまうのではなかろうか?
となると、要件定義の段階では、大雑把にやりたいこと=機能が見えているので、それにあわせた脅威に対する対策を行ってねとお願いするのが一番いい気がする。
大体、アプリケーションが実装しなければならない機能は究極のところ、データを検索、更新・追加、削除して実装するわけだから、結構同じような脅威があるんではないかなぁ?と思う。
その脅威に対して、対策してねというようにすれば、要件定義の段階ではいい気がするんだけどどうかなぁ?