先日のコメント欄に対するレスポンスになります。
書き込みしてくださいました FrowerLounge 様、ありがとうございます。

1. 「設計不良」について
「設計不良」と「バグ」という言葉の違いについて、あまり深く考えておりませんでした。概念的に「それって問題ある!!」と認識できる言葉のウェイトが「設計不良」＜「バグ」であったため、上記のような記述になってしまっています。よく考えれば「バグ」＝「製造不良」であり、ご指摘の通り本来であればより上流工程である設計段階での不良の方が問題があるわけで、この記述は不適切でした。

2. 「セキュリティ」について

システム運用サイクルでどのようなセキュリティ上の問題が発生する可能性があるかを洗い出す知識と、セキュリティのどのレベルまでをリクワイアメントとして仕様に盛り込むかの切り分けセンスの2点が重要ではないかと思います。

こちらについては、まさにその通りだと思います。僕の文章ではそれが難しいことの例を示そうと思ったのですが、それがうまくいかないのが問題ですね。一言で言うと、「要求仕様」＞「画面」＞「セキュリティ」の順におざなりになっている (仕様が洗い出しにくくなっている) のではないか、ということでした。もちろん、プログラムの製造と言う行為が、形のある物体の製造に比べて難しいという点についても、その通りだと思います。(と言い切ってしまうと、形のある物体を製造されていらっしゃる方から「そんなことは無い!」とご指摘を頂いてしまいそうですが、今の職つまり俗に言う PG に僕が身を寄せた理由はまさにこれですので、ここについては考え方や経験の違い、ということでご理解ください。もしかしたら比べること自体ナンセンスなのかもしれません) ですので、先日の車とプログラムの比較自体、あまり望ましいものではなかったかもしれません。

3. 「暗証番号」について
テンキーがランダムに表示されたときの、ユーザーへの厳しさは認識しています。というのも、実は私の職場に設置されているセキュリティ システムの暗証番号入力欄がこのような表示なのです。一瞬戸惑うんですよね、これは。(ということは斬新なアイディアでも独創的にあふれているわけでもない、ということでもあり・・・期待させてごめんなさい。(苦笑)
これについてはもちろん、セキュリティとユーザービリティとのトレードオフだと思っています。ですから、諦めが肝心な場合もあります。

4. スパイラルモデルと嘘をつくやまにょん
本当にごめんなさい。まさにご指摘の通りでした。
IT 用語辞典 (日立システム&サービス) においても「顧客の要求と最終実装が乖離しないという特徴を持つ」と述べられていますね。
ですがここではあえて「仕様の修正や再設計を考慮した」という点に焦点をあてたいという気持ちをヨイショしていただけると助かります。
というか旧 1 種情報処理技術者試験の出題範囲ですね。ごめんなさい合格してないんです。なのにこんなこと書いてしかも嘘っぱちですみません。