LEGO SERIOUS PLAY を用いた脅威モデリング:デジタル・アイデンティティの脅威を構築する
著者と公開日
- 著者:
-
-
Simone Onofri, W3C Security Lead
-
Giovanni Corti, Threat Modeling Community Group participant
-
- 出版日:
W3C(World Wide Web Consortium)では、セキュリティ、プライバシー、人権が相互に深く結びついていると考えている。これは特にデジタル・アイデンティティ技術において顕著であり、技術が変化すれば、脅威を理解し対処する方法も変えていく必要がある。
近年、W3C コミュニティは、テクニカルな脅威や個人への被害にどのように対処するか、そして新しい標準(デジタル・アイデンティティを含む)がシステムだけでなく人々をも守れるようにするために、さまざまなアプローチを脅威モデリングを通じて模索してきた。
2025年10月14日、この取り組みは Threat Modeling Connect と協力して開催された特別なワークショップ 「Threat Modeling with LEGO© SERIOUS PLAY© - Build Your Digital Identity Threat」によって形になった。
このワークショップでは、脅威モデリングのプロセスに、W3C が開発した創造的かつ実践的な手法を組み合わせ、参加者が被害を可視化し、それを脅威へと変換し、デジタル・アイデンティティ領域におけるさまざまな側面のつながりを構築できるよう支援した。
被害から脅威へ
従来の脅威モデリング手法では、STRIDE や LINDDUN といった脅威分類フレームワークに依存し、W3C もセキュリティやプライバシーの脅威を特定するためにこれらを使用している。しかし、Web がもつ社会的・倫理的影響を考えると、より広い視点が必要になる。人間性や社会への影響をどのように脅威として認識するか?
W3C は、脅威モデリングとハーム(被害)モデリングを組み合わせたデジタル・アイデンティティの新しい分析レベルに取り組み始めている。これは Microsoft が初期に行った責任あるイノベーション研究に触発され、学術研究を通じて拡張された手法であり、さまざまなステークホルダー(例:個人やコミュニティ)が技術によってどのように負の影響を受けうるかを特定し、その影響の技術的原因(=脅威)を追跡するという、ハームモデリングと脅威モデリングを融合したアプローチである。
高レベルな脅威は、特にデジタル・アイデンティティ分野で重要となる。政府が発行する身分証明(国民IDカード、パスポート、学歴証明書など)は、包摂にも排除にもつながりうる。政府や組織が検証可能な資格情報(VC)やデジタルウォレットを導入する中で、関連する脅威は単なる技術的な不具合にとどまらず、プロファイリング、差別、人権侵害にまで及ぶ。
なぜ LEGO© SERIOUS PLAY© なのか?
このギャップを埋めるために、ワークショップでは LEGO© SERIOUS PLAY©(LSP)を活用した。これはレゴ社が1990年代に戦略的思考や問題解決のために開発したファシリテーション手法であり、「手を動かすことで理解が深まる」という“manual knowledge”の概念に基づいている。
セッションでは、参加者それぞれにレゴブロックのセットが配られ、「被害から脅威を構築せよ」という課題が与えられた。この触覚的・比喩的なプロセスにより、複雑で抽象的になりがちな倫理的・社会的考察を、手に取って操作し、変更し、接続できる具体的な形へと変換できた。
セッション中、Simone は、彼が The Association of Master Trainers による LEGO® SERIOUS PLAY® 認定ファシリテーターであることを踏まえつつ、 「遊びを通じて思考を外化することで、技術設計の背後にある “見えない前提” を誰もが見て、問い直すことができる」 と説明した。
脅威を構築する
ワークショップでは、LSP の基本的な4フェーズ ― Listen(聞く)、Build(作る)、Share(共有する)、Reflect(振り返る)― に沿い、被害から脅威を生成するという脅威モデリング構造に合わせた課題が提示された。 Threat Modeling Community Group と Security Interest Group が脅威と被害の分類作業を進める中で、 Corti ら(2025)による “Enhancing National Digital Identity Systems” において、 デジタル・アイデンティティ固有の被害として、個人的特徴に基づく差別、同意を超えた違法なデータ利用、家庭内暴力の助長、迫害、取引コスト増による経済的排除などが指摘されている。
民族的および/または宗教的プロファイリングを示すためのモデル
個々の属性に基づく差別を示すためのモデル
個々のモデルからランドスケープへ:つながりの分析
第2フェーズでは、参加者は自分のモデルを空間的に配置し、被害と脅威のつながりが一貫したストーリー、つまり集合的な脅威ランドスケープの「スーパー・ストーリー」を形成するように求められた。
この相互接続のステップにより、個々の被害が単独で発生することはほとんどないことが示された。例えば、データの不正利用はプロファイリングにつながり、それが結果としてサービスを差別的に拒否する事態を引き起こす。また、家庭内暴力被害の露呈は、ウォレットのセキュリティ制御の不十分さと関連しており、技術的対策と社会的安全対策が切り離せないことを示していた。
空間的に接続されたモデル
得られた学び
最後の振り返りでは、LEGO® SERIOUS PLAY® の伝統的な「アヒル」エクササイズが行われ、参加者はセッション冒頭に作成した象徴的なアヒルを、学んだことを反映させた形で再構築した。
参加者からは次のような気づきが得られた:
- 「お金を失う/支出することで生活水準が低下する」
- 「アイデアや概念をさまざまな方法・形でつなげることを学んだ」
- 「最も予想外のもの同士が強くつながっていることがある」
これらの振り返りは、人間の経験に基づく脅威モデリングが私たちの想像力を広げることを理解する助けとなった。セキュリティやプライバシー分析をチェックリスト作業から、ポジティブ・ネガティブ両面の未来を協働で探求するプロセスへと変えるのである。
「被害について考えることは、自然と脅威の枠組みを作ることにつながり、さらにその脅威に関するストーリーを生み出し、自分たちのプロジェクトがどのように侵害されうるかを考えることへとつながる。」
象徴的な LEGO のアヒルと、そこから得られた学び
ワークショップのその先へ
このワークショップは、LSP を W3C のセキュリティ、プライバシー、人権に関する取り組みに統合することが、実現可能であるだけでなく変革的であることを示した。
参加者は、複雑で抽象的な被害や脅威を可視化することができ、この手法は従来の文章中心の分析では見落とされがちな前提を明らかにする助けとなる。
W3C コミュニティにとって、この試みは Security Interest Group、 Privacy Working Group、 Threat Modeling Community Group が進めている取り組みと一致している。
また、この演習は W3C が掲げる、オープンで参加型のプロセスに対するより大きなコミットメントを再確認するものでもあった。Web 標準が協働と透明性から生まれるように、脅威に対する私たちの理解も同様であるべきだ。
結論
デジタル・アイデンティティをテーマとした LEGO® SERIOUS PLAY® を使った脅威モデリングのワークショップは、 技術標準化プロセスの中に人間中心の思考を取り入れるための第一歩となった。 参加者は単に脅威を分析しただけではなく、脅威を構築し、つなげ、共に理解したのである。
W3C コミュニティが次世代のアイデンティティ技術の標準を策定し続ける中で、この演習は技術には重要な社会的影響があることを思い起こさせる。
W3C は今後も Threat Modeling Community Group を中心に、このアプローチを洗練させ、ユーザと人間中心の視点を重視しながら、 他者を議論に招き、そしていつかは自分たち自身で脅威を構築してもらえるよう取り組んでいく。
コメント (0件)
この投稿へのコメントは終了しました。