直近で非機能要件の資料を書く手伝いをしたので、そのときに自分で見つけ良さそうだなと思った資料をまとめていきます。
非機能要件定義サンプル
平成29年度新エネルギー等の保安規制高度化事業
アクセンチュアが原案を描き、経済産業省がまとめた要件定義書。
非常に見やすくまとまっていて、細かい数字ベースで語られているのでお客様にも説明しやすいと思われる。また、後述するが非機能要求グレード(IPA)だけ扱えばいいと勘違いしていた自分に、それだけでは足りないと知見を広げてくれた資料。(ユーザビリティ・アクセシビリティの項目とか)
すごくわかりやすく、すぐ読めるので一読をおすすめ。(さすが、頭のいい人たちの書く資料は全然違う。)
非機能要件元ネタ
非機能要求グレード
IPAがまとめた非機能要件で定めるべき内容の説明書。
非機能要件でこれを参考にしないのは、まずいレベルで網羅性が高い。
これを読めば8割は必要な内容が抽出できる。特に、エクセルの一覧は今回の方針だけ記載して、そのまま顧客に提出してもいいレベルですごい。辛辣な言い方かもしれないが、SEが少しの時間しか調べずにまとめた要件定義書よりも、遥かにお客様を安心させるような代物だと個人的に思ってます。
ただし、端末とか最新セキュリティなどは盛り込まれていないので、いくつか補完の必要が場合によっては必要。
Webシステム/Webアプリケーションセキュリティ要件書 3.0
OWSAPという世界的な団体がアプリケーションのセキュリティ向上を目指してまとめた文章。
セキュリティ要件定義をする場合、アプリのセキュリティ項目に使える内容が多い。
ほぼほぼ基礎的な内容だが、基礎的な要素の網羅がすごくと個人的に思う。これをベースに最新動向を入れれば要件定義段階でセキュアコーティング規約書と同じ価値のものが作れて、後工程で役立つドキュメントを作れそう。
NIST関連文章
米国国立標準技術研究所のセキュリティ関連の和訳資料。
影響力大でここがこうしろと言ったものには、素直に従った方がいいレベル。読むの難しいけど時間をかけて読んだ方がいいです。ここの文章に反論できる優秀な人は日本には数える人数しかいないので、凡人の私は素直に従います。
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
クラウド関連のセキュリティガイドライン。
クラウドを使用する場合は、読むとお客様説明の際に理論的になるかもしれないと思っている。
まとめ
大体、大きな会社だと、これを描きなさいみたいなの決まってるから、いいんですけど、セキュリティ系とか足りない項目ないかなとか経験上、要件定義に盛り込みたい内容とか上記から引用して追加しましたとか言うと説得力があっていいかなと思っています。