2019臺灣資安產業與IoT發展現況大公開

近年來物聯網應用發展正當紅，然而其衍生的威脅，成為當今資安的一大挑戰，不過，這樣的新興議題，其實也是資安業者的一個新機會，而且，已有臺灣業者在這個方向積極發展。在5月中舉行的國際資安新創交流論壇中，工研院產業科技國際策略發展所研究經理徐富桂，在其中一場議程，揭露了臺灣資安產業的整體現況，並針對物聯網資安產業的議題，分享國內廠商的最新發展趨勢，期望讓更多業者能瞭解，臺灣在IoT這一塊未來可前進的方向。

臺灣資安相關業者約有300家，系統整合經銷代理最多

為推動臺灣資安產業發展，政府近年正開始發力，提出相關政策，而我們最常看到大家的談論議題，就是聚焦在發展關鍵技術、人才培育、連結國際市場，以及建立產業生態系、驗證環境等，但是，對於臺灣資安公司發展現況，像是公司家數與類型，我們很少聽聞有相關數據。這次，徐富桂在談IoT產業資安趨勢時，剛好給出具體的答案，他們近年盤點國內相關資安產業與廠商，目前臺灣是在300家左右。

更進一步來看，在產業科技國際策略發展所（簡稱產科國際所）的調查中，他們將資安產業畫分為3大類型，分別是資安產品、資安服務，以及系統整合商支援，並區分為8種類別。在2018年底的最新調查結果中，以臺灣以系統整合經銷代理的業者，比例最大，共有125家，其次為資安顧問與服務的業者，也有58家，因此，這兩種類別，就佔了整體的6成。不過，若從就業人數看，在這兩大類別中，有相當高比例是20人以下的中小企業。

在臺灣，真正開發資安產品的業者，則有80家左右，當中端點與行動安全類別的有29家，網路與基礎架構安全的有38家，至於資料、網頁、應用與雲端安全的則有22家，而針對新興的IoT安全方面，由於具有跨產業的特殊性，他們將它獨立為一類，目前國內約有9家投入這一領域，值得注意的是，歸納於這方面的解決方案其實不少，包括：IC PUF、ICS Gateway、DevSecOps、ICS+OT，以及IoT安全（包含裝置、自動化與連接等層面）。

根據工研院產科國際所的最新調查，臺灣資安相關業者有300家左右，系統整合經銷代理的業者佔了125家，比例最大，其次為資安顧問與服務的業者58家，而真正在開發資安產品的業者，則是80家左右。（攝影／羅正漢）

不過，雖然臺灣的資安產業分布是如此，但從經濟面向來看，在臺灣的資安產業出口產值上，仍是以網路安全硬體設備為大宗。

徐富桂表示，全球有8成的網路安全硬體平臺，其實都是由臺灣生產，儘管臺灣這類業者家數佔比不高，但在2018年的出口產值達120多億元，居於第一；其次為終端行動防護的產值為95億元，主要是因為包括了個人身分識別，所用到的硬體設備；第三則是代理經銷類別，這是受到近兩年來，國內資安產業推動的影響，因此這方面的服務產值也達73億元，所以，相對來說，臺灣進口的資安產品也是不少。

整體而言，臺灣的資安產值是437.3億元，而臺灣資安市場為498億元。其中，臺灣以硬體出口為主，偏重在網路安全設備，而軟體與大型安全方案多是採購國外產品，並透過系統整合廠商做在地的服務。

至於未來，IoT資安產業前景可期。儘管去年產值只有18億元，但徐富桂觀察，臺灣身為資通訊大國，在IoT設備的資安方案或服務上，其實具有相當大的機會。

IC與ICT產業加持，物聯網安全成新契機，IoT的硬體本質安全比以往更受重視

在生活中，現在已有各式各樣的IoT設備，包括常見像是IP Cam、掃地機器人等，這類具有IP位址的物聯網設備，同時，也包括了無IP位址的IoT裝置，例如藍牙手環，透過Zigbee的家用控制裝置等，透過IoT Security Gateway連上網路。

而這類物聯網設備的問題，過去有不小的比例，是因為低成本，或使用既有現成方案關係，而沒有考慮安全性，甚至傳輸沒有加密，還有設備存取密碼都是弱密碼的問題。

不過，對於IoT安全的未來，其實要以更廣的角度來看待，徐富桂指出，IoT裝置的資安考量可分為4大重點，分別是裝置安全、連結安全（Connection Security）與雲端安全（Cloud Security），還要有專業資安服務來串起整個產業鏈，當中也包含隱私議題需要面對。

而以臺灣在半導體與資通訊產業的優勢來看，未來臺灣在裝置安全與連結安全的面向，將是發展IoT安全的重點。

更深入探究下去，其實IoT安全的層面將會涉及的範疇，包括物聯網產品開發階段的建立、認證，以及產品部署後的操作、維運，以及生命週期管理等。

而臺灣在此方面有那些進展？徐富桂表示，從開發階段的IC晶片與安全工具來看，已有資通訊大廠準備與國內資安廠商合作。舉例來說，在資通訊業者與資安廠商的合作下，能夠確保資通訊產品在出廠前，不會存在已知的漏洞，並且在出廠後提供更新防護。

而且，對於打造安全可信任的IoT產品，底層安全的議題現在變得更受重視。畢竟，安全要從最基本IC的核心開始，往上，才是IoT平臺的OS層與系統層安全，如此一來，才能保證軟體執行，然後再往上到應用程式安全。

此外，在產品部署後的專業服務與IoT Gateway，也有臺灣廠商正進行相關布局，例如IoT生命週期管理等。

發展IoT安全，臺灣已有從晶片層與系統層切入的實力

整體來看，臺灣資安產業在IoT領域的發展機會似乎不少，但具體有那些實際案例呢？徐富桂指出4條臺灣業者正發展的路線。

首先，是IoT晶片層級安全的PUF安全技術，全名為物理不可仿製功能（Physically Unclonable Function）。簡單來說，這是利用製造IC時的特徵值所計算出來的數位指紋，可用於對設備進行身分驗證，而且不像傳統方法需將私鑰儲存在硬體之中，因此不會有金鑰遺失的風險，安全等級更為提高，而且，國內已有旺宏、力旺等業者投入發展。

第二，是屬於晶片層級安全的SOC解決方案，已有半導體廠商聯發科跟微軟合作的例子。這個Azure Sphere IoT Security晶片的參考設計，是由聯發科開發打造，在微控制器晶片中，包含了一個Pluton Security Subsystem，將相關安全技術整合其中，以確保Azure Sphere平臺的安全。

第三，是以系統層安全的IoT生命週期安全面向切入，涵蓋了開發階段的韌體安全保護，到生產時，送到製造端燒路的不被竄改，以及終端產品組裝時的生產管理，甚至是後續的韌體更新，還有產品生命週期結束後，都應面對當中存有敏感資料的處理。而對於這樣的生命週期防護，目前臺灣新創尚承科技正在發展這一塊。

最後，則是大家比較熟知的系統層安全晶片，像是電腦上使用的TPM晶片，中低階產品使用的安全元件SE（Secure element）等，而在國內，有新唐科技在TPM市場布局已久。

從上述IoT安全的發展趨勢來看，儘管這個市場還處於萌芽期，但已經讓我們看到臺灣在此領域所能拓展的不同面向，或許，相關業者也能從中找出未來更多機會。

在物聯網安全趨勢下，國內業者已經開始著手發展晶片層與系統層的安全，PUF安全技術的發展就是一個例子，他們以全新的電子指紋方式來提高安全等級。此外，還有SOC晶片整合安全技術，提供IoT安全生命週期解決方案，以及TPM與SE安全晶片等不同面向。（攝影／羅正漢）