システムのセキュリティ体制とシステムがサービスレベル目標（service level objective = SLO）を達成する能力に確信を持てるようにするためには、システムの複雑さを管理する必要があります。つまり、システム、そのコンポーネント、それらの間のやり取りについて意味のある推論と理解が欠かせません。システムがどれほど理解しやすいかという程度は、関係するプロパティによって極端に異なる可能性があります。例えば、負荷が高いときのシステムの動作を理解するのは簡単かもしれませんが、特別に細工された（悪意のある）入力に遭遇したときのシステムの動作を理解するのは難しいかもしれません。

　本章では、システムのライフサイクルのあらゆる段階に関連する、システムの理解しやすさについて検討します。まず、不変条件とメンタルモデルに従ってシステムを分析および理解する方法について議論することから始めます。次に、アイデンティティ、認可、アクセス制御に関して標準化されたフレームワークを使用する階層化されたシステムアーキテクチャが、理解しやすさに配慮した設計に役立つことを示します。セキュリティ境界というトピックを深く掘り下げてから、ソフトウェア設計（特にアプリケーションフレームワークとAPIの使用）がセキュリティと信頼性のプロパティについて推論する能力に多大な影響を及ぼす可能性があることを検討します。 ...