http://www.jnsa.org/active/houkoku/web_system.pdf
すげー、きちんと読もうっと。

とりあえず読んでみた。
パターン２、パターン３のRFPならいろいろ提案できそうだけど、パターン１はちょっとなぁ。
特に「１.入力検証及び不正データ入力時の無効化」って「データ入力時にサニタイズします」としか書けないと思うんだけど。後書くとしたらテストでセキュリティ検査しますとか、開発体制どうしますとか･･･どちらかというと要求仕様に近い気がする。

発注側からのアプローチとしては、現象だとか脅威からの方が良いと思うのですよ。そうしないと、面倒な対策自体を考えることになってしまうので。ただ、脅威からのアプローチというのも実は結構難しい気がする。最も、脅威ってそれほど大きく変わることがないので、テンプレートを１つ作ってそれを基にRFP作れば簡単かもしれない。ということで、脅威の一覧作ってくれないかなぁ。