Webhook の SA email 検証など、期待値を環境変数・SSM などから取得して照合する認証では、期待値が未設定 (空) の場合は認証を通すのではなく拒否 (isValid: false) する fail-closed にする。これにより設定漏れ時に検証が無効化されることを防げる。ただしデプロイ前に期待値が正しく設定されているか確認が必要 (未設定だと全 Webhook が拒否される)。