✅ 認証統制設計責任（01〜20）

• 認証方式（form, basic, token）が統一設計されているか
• username/password流通経路が暗号化されているか
• パスワード保存はbcrypt等でハッシュ化されているか
• 失敗時のエラーメッセージが一般化されているか
• 認証失敗カウント統制が整理されているか
• アカウントロック機構が整理されているか
• パスワード変更強制が整理されているか
• password policyが統一されているか
• 認証強度ポリシーが文書化されているか
• OAuth2/OIDC統合が整理されているか
• social login適用時の外部ID統合が整理されているか
• SSO統合範囲が整理されているか
• Multi-factor authentication適用が整理されているか
• API token生成・失効設計が整理されているか
• device binding統制が整理されているか
• refresh token運用が整理されているか
• public/private client区別が整理されているか
• 認証イベント監査が整備されているか
• 認証情報流出監視が統合されているか
• 認証設計資料がレビュー対象になっているか

✅ 認可統制責任（21〜40）

• URL単位でaccess control統制が整理されているか
• method security適用が整理されているか
• @PreAuthorize/@PostAuthorize責任が統一されているか
• role hierarchyが整理されているか
• attribute based access control適用が整理されているか
• ownership validation統制が整理されているか
• group管理が統一設計されているか
• tenant isolation統制が整理されているか
• dynamic permission統制が整理されているか
• admin override設計が整理されているか
• resource scope設計が整理されているか
• authorization decision auditが整備されているか
• access logにリソース識別子が出力されているか
• role elevation監査が整理されているか
• delegation設計が整理されているか
• privilege escalation抑止が保証されているか
• soft deleteと認可整合が保証されているか
• authority injection抑止が整理されているか
• authorization policyがドキュメント化されているか
• authorization設計レビューが制度化されているか

✅ セッション管理責任（41〜60）

• stateless vs stateful設計が整理されているか
• session timeoutが統一設定されているか
• remember-me設定が整理されているか
• concurrent session制限が整理されているか
• session fixation対策が整理されているか
• session IDはsecure cookieで管理されているか
• session invalidation統制が整理されているか
• session renewal設計が整理されているか
• session store統制（DB, Redis等）が整理されているか
• distributed session統制が整理されているか
• logout設計が整理されているか
• logout後キャッシュ制御が整理されているか
• session hijacking検知が整理されているか
• session idle timeoutが整理されているか
• long running session抑止が整理されているか
• concurrent logout通知設計が整理されているか
• session復旧不可設計が保証されているか
• session統計監査が統合されているか
• session設計資料がレビュー対象になっているか
• session障害復旧手順が整備されているか

✅ Web保護・CSRF・CORS責任（61〜80）

• CSRF protectionが有効化されているか
• stateless APIではCSRF抑止が整理されているか
• origin判定統制が整理されているか
• CORS policy統制が整理されているか
• preflight cache統制が整理されているか
• unauthorized redirect抑止が整理されているか
• XSS防止はHTMLエスケープ統制されているか
• content security policyが統合されているか
• HTTP header hardeningが統一されているか
• frame optionsが設定されているか
• sameSite cookie設定が整理されているか
• strict transport securityが適用されているか
• insecure deserialization抑止が設計されているか
• SSRF抑止が整理されているか
• open redirect抑止が整理されているか
• file upload validationが統制されているか
• DoS攻撃耐性が設計されているか
• URL parameter injection抑止が整理されているか
• content sniffing抑止が整理されているか
• Web保護設計レビューが制度化されているか

✅ 機密情報・暗号統制責任（81〜100）

• credentialsはapplication.ymlに平文保存されていないか
• secrets管理は外部Vault等に委譲されているか
• key rotation設計が整理されているか
• key vaultアクセス監査が統制されているか
• TLS証明書更新統制が整理されているか
• PKI運用が統制されているか
• client certificate適用が整理されているか
• asymmetric encryption適用範囲が整理されているか
• database encryption統制が整理されているか
• password reset token設計が整理されているか
• one-time token設計が整理されているか
• JWT secret統制が整理されているか
• JWT expiration設計が整理されているか
• replay attack防止が設計されているか
• integrity protectionが整理されているか
• audit log tampering抑止が整理されているか
• secrets監査証跡が保持されているか
• key使用履歴監査が統制されているか
• secrets統制設計レビューが制度化されているか
• 機密統治設計教育がレビュー文化に統合されているか