RFPのシステム要件にある「アプリケーションのセキュリティ要件」を、機能要件とするのか？非機能要件とするのか？は難しい問題です。現状の私の考えは以下の通りです。

• 認証と識別（ログインとユーザ管理）、ユーザ操作履歴の記録など、ユースケースとして洗い出されるものは機能要件
• Webアプリケーションのセキュリティ要件、ウィルス対策など、ユースケースとして洗い出されないものは非機能要件
• アクセス制限はユーザ管理機能と捉えれば機能要件、一般的な外部からのアクセス制限として捉えれば非機能要件

これが正解というものはないのですが、「ユースケースとして洗い出されるか？」が判断のポイントになると思います。
※このため、先の対応付けでは「RFPの業務要件（＋システム要件の一部）＝機能要件」としています。

これはあるべき論（方法論）というよりも、実際的にどのように扱えばシステム開発に必要な要件として漏れなく定義できるか？という現場の現実論としてやり易い方にすべきだと考えます。

この辺りは皆さんどうしているのか聞いてみたい所です。＞ご意見募集中！