Insecure Design（安全でない設計）

Insecure Design（安全でない設計）とは、ひとことで言えば、実装の欠陥ではなく設計段階そのものに起因する脆弱性カテゴリで、OWASP Top 10 2021で新設されました。たとえば、パスワードリセット時に「秘密の質問」のみで本人確認する設計は、SNS情報から答えが推測可能であり、いくら実装が完璧でも安全ではありません。対策には脅威モデリング、セキュアデザインパターンの適用、設計レビュー、悪用ケース（abuse case）の検討が含まれます。「実装で直せない、設計から直す必要がある」という点が重要で、シフトレフトやセキュアSDLCの必要性を象徴するカテゴリです。