近年來物聯網應用發展正當紅,然而其衍生的威脅,成為當今資安的一大挑戰,不過,這樣的新興議題,其實也是資安業者的一個新機會,而且,已有臺灣業者在這個方向積極發展。在5月中舉行的國際資安新創交流論壇中,工研院產業科技國際策略發展所研究經理徐富桂,在其中一場議程,揭露了臺灣資安產業的整體現況,並針對物聯網資安產業的議題,分享國內廠商的最新發展趨勢,期望讓更多業者能瞭解,臺灣在IoT這一塊未來可前進的方向。

臺灣資安相關業者約有300家,系統整合經銷代理最多

為推動臺灣資安產業發展,政府近年正開始發力,提出相關政策,而我們最常看到大家的談論議題,就是聚焦在發展關鍵技術、人才培育、連結國際市場,以及建立產業生態系、驗證環境等,但是,對於臺灣資安公司發展現況,像是公司家數與類型,我們很少聽聞有相關數據。這次,徐富桂在談IoT產業資安趨勢時,剛好給出具體的答案,他們近年盤點國內相關資安產業與廠商,目前臺灣是在300家左右。

更進一步來看,在產業科技國際策略發展所(簡稱產科國際所)的調查中,他們將資安產業畫分為3大類型,分別是資安產品、資安服務,以及系統整合商支援,並區分為8種類別。在2018年底的最新調查結果中,以臺灣以系統整合經銷代理的業者,比例最大,共有125家,其次為資安顧問與服務的業者,也有58家,因此,這兩種類別,就佔了整體的6成。不過,若從就業人數看,在這兩大類別中,有相當高比例是20人以下的中小企業。

在臺灣,真正開發資安產品的業者,則有80家左右,當中端點與行動安全類別的有29家,網路與基礎架構安全的有38家,至於資料、網頁、應用與雲端安全的則有22家,而針對新興的IoT安全方面,由於具有跨產業的特殊性,他們將它獨立為一類,目前國內約有9家投入這一領域,值得注意的是,歸納於這方面的解決方案其實不少,包括:IC PUF、ICS Gateway、DevSecOps、ICS+OT,以及IoT安全(包含裝置、自動化與連接等層面)。

根據工研院產科國際所的最新調查,臺灣資安相關業者有300家左右,系統整合經銷代理的業者佔了125家,比例最大,其次為資安顧問與服務的業者58家,而真正在開發資安產品的業者,則是80家左右。(攝影/羅正漢)

不過,雖然臺灣的資安產業分布是如此,但從經濟面向來看,在臺灣的資安產業出口產值上,仍是以網路安全硬體設備為大宗。

徐富桂表示,全球有8成的網路安全硬體平臺,其實都是由臺灣生產,儘管臺灣這類業者家數佔比不高,但在2018年的出口產值達120多億元,居於第一;其次為終端行動防護的產值為95億元,主要是因為包括了個人身分識別,所用到的硬體設備;第三則是代理經銷類別,這是受到近兩年來,國內資安產業推動的影響,因此這方面的服務產值也達73億元,所以,相對來說,臺灣進口的資安產品也是不少。

整體而言,臺灣的資安產值是437.3億元,而臺灣資安市場為498億元。其中,臺灣以硬體出口為主,偏重在網路安全設備,而軟體與大型安全方案多是採購國外產品,並透過系統整合廠商做在地的服務。

至於未來,IoT資安產業前景可期。儘管去年產值只有18億元,但徐富桂觀察,臺灣身為資通訊大國,在IoT設備的資安方案或服務上,其實具有相當大的機會。

IC與ICT產業加持,物聯網安全成新契機IoT的硬體本質安全比以往更受重視

在生活中,現在已有各式各樣的IoT設備,包括常見像是IP Cam、掃地機器人等,這類具有IP位址的物聯網設備,同時,也包括了無IP位址的IoT裝置,例如藍牙手環,透過Zigbee的家用控制裝置等,透過IoT Security Gateway連上網路。

而這類物聯網設備的問題,過去有不小的比例,是因為低成本,或使用既有現成方案關係,而沒有考慮安全性,甚至傳輸沒有加密,還有設備存取密碼都是弱密碼的問題。

不過,對於IoT安全的未來,其實要以更廣的角度來看待,徐富桂指出,IoT裝置的資安考量可分為4大重點,分別是裝置安全、連結安全(Connection Security)與雲端安全(Cloud Security),還要有專業資安服務來串起整個產業鏈,當中也包含隱私議題需要面對。

而以臺灣在半導體與資通訊產業的優勢來看,未來臺灣在裝置安全與連結安全的面向,將是發展IoT安全的重點。

更深入探究下去,其實IoT安全的層面將會涉及的範疇,包括物聯網產品開發階段的建立、認證,以及產品部署後的操作、維運,以及生命週期管理等。

而臺灣在此方面有那些進展?徐富桂表示,從開發階段的IC晶片與安全工具來看,已有資通訊大廠準備與國內資安廠商合作。舉例來說,在資通訊業者與資安廠商的合作下,能夠確保資通訊產品在出廠前,不會存在已知的漏洞,並且在出廠後提供更新防護。

而且,對於打造安全可信任的IoT產品,底層安全的議題現在變得更受重視。畢竟,安全要從最基本IC的核心開始,往上,才是IoT平臺的OS層與系統層安全,如此一來,才能保證軟體執行,然後再往上到應用程式安全。

此外,在產品部署後的專業服務與IoT Gateway,也有臺灣廠商正進行相關布局,例如IoT生命週期管理等。

發展IoT安全,臺灣已有從晶片層與系統層切入的實力

整體來看,臺灣資安產業在IoT領域的發展機會似乎不少,但具體有那些實際案例呢?徐富桂指出4條臺灣業者正發展的路線。

首先,是IoT晶片層級安全的PUF安全技術,全名為物理不可仿製功能(Physically Unclonable Function)。簡單來說,這是利用製造IC時的特徵值所計算出來的數位指紋,可用於對設備進行身分驗證,而且不像傳統方法需將私鑰儲存在硬體之中,因此不會有金鑰遺失的風險,安全等級更為提高,而且,國內已有旺宏、力旺等業者投入發展。

第二,是屬於晶片層級安全的SOC解決方案,已有半導體廠商聯發科跟微軟合作的例子。這個Azure Sphere IoT Security晶片的參考設計,是由聯發科開發打造,在微控制器晶片中,包含了一個Pluton Security Subsystem,將相關安全技術整合其中,以確保Azure Sphere平臺的安全。

第三,是以系統層安全的IoT生命週期安全面向切入,涵蓋了開發階段的韌體安全保護,到生產時,送到製造端燒路的不被竄改,以及終端產品組裝時的生產管理,甚至是後續的韌體更新,還有產品生命週期結束後,都應面對當中存有敏感資料的處理。而對於這樣的生命週期防護,目前臺灣新創尚承科技正在發展這一塊。

最後,則是大家比較熟知的系統層安全晶片,像是電腦上使用的TPM晶片,中低階產品使用的安全元件SE(Secure element)等,而在國內,有新唐科技在TPM市場布局已久。

從上述IoT安全的發展趨勢來看,儘管這個市場還處於萌芽期,但已經讓我們看到臺灣在此領域所能拓展的不同面向,或許,相關業者也能從中找出未來更多機會。

在物聯網安全趨勢下,國內業者已經開始著手發展晶片層與系統層的安全,PUF安全技術的發展就是一個例子,他們以全新的電子指紋方式來提高安全等級。此外,還有SOC晶片整合安全技術,提供IoT安全生命週期解決方案,以及TPM與SE安全晶片等不同面向。(攝影/羅正漢)

熱門新聞

Advertisement