【臺灣資安大會直擊番外篇】臺灣資安人才超搶手，政府民間紛紛出招培育人才

臺灣資安人才有多搶手？根據iThome最新發布的2021年資安大調查，企業對資安人才的需求力度連年提升，今年有3成1的企業都要招募資安人才，每10家企業就有3家開出相關職缺。

目前平均一家企業已經有3.5位資安人力，但根據我們年初的調查，每家大型企業今年平均還要招募2.3人，希望能將資安團隊擴編到5.8人的規模，隨著企業數位化越深，資安挑戰和風險日益增加，企業現有資安人力明顯不足，得要多補6成人手才夠用。

從個別產業別來看，最缺資安人才的依舊是金融業，僅管現有資安人力是整體產業平均值的3倍之高，位居各產業之冠，但金融業打算今年平均還要多招募3.8人，而經常遭遇海外攻擊的政府與學校，也還要多找3.2人。特別的是，一般製造業今年要招募的資安人力也來到2.3人，甚至多於現有的2.1人，等於是要翻倍加碼資安人手，不僅因為去年製造業資安災情頻傳，疫情下的遠距工作型態也提升了資安風險，使製造業資安投資意願大幅提高。

企業不只要徵才，更要找技術精熟的資安人才。企業CIO們自評，企業難以阻擋駭客的原因中，缺乏熟練人員的企業占比來到3成，比起去年2成2高出許多，企業向來重視資安熟手，今年更是迫切需要。這也讓優秀資安人才的培育與招募，成為今年各界都更重視與關注的焦點。

根據iThome今年資安大調查，各產業今年資安人才需求力度提升，金融業平均要多招募3.8人，政府與學校也要多找3.2人，一般製造業今年則要招募2.3人，甚至多於現有的2.1人。

104最新統計：臺灣每3～4家企業搶一個資安人才

從這項超過400家臺灣2千大規模企業的調查，不難發現，企業對資安人才有迫切需求，但是，資安人才的供給量能滿足得了企業需求嗎？

日前在臺灣資安大會上，104人力銀行根據自家涵蓋臺灣7成工作人口的職缺統計數據，揭露了最新的資安人才需求趨勢。104獵才招聘事業群資深經理劉俊鴻就直言，資安人才供應遠不及需求，以網路安全系統分析師來看，光是今年第一季，平均每3家企業要搶1個求職者。

實際從104彙整的數據來看，針對「網路安全系統分析師」的職務，過去3年來，企業需求為人才供應量的3～4倍。比如2年前這項職缺需求就高達4,193人，今年第一季更成長到4,529人，但有興趣從事這項工作的人才供給量，2年前是1,075人，統計到今年第一季卻只有1,533人，大幅低於市場需求。

劉俊鴻點明，由於供應量不足，資安工程師在市場上屬於待價而沽的狀態，薪水更有商議空間；但對企業來說，平均3～4家公司要搶一個人，容易面臨找不到人才的處境。

而且，從這項數據也可以發現，企業開出的資安人才職缺數近兩年來持續增加，劉俊鴻認為，COVID-19疫情可能也起了部分推波助瀾之效，因為疫情帶來更多遠距、線上服務的需求，讓更多企業面臨了資安與風險管控的問題，而需要招募這類資安工程師。

進一步分析，若以資安人才就業的各產業分布狀況，前3大就業產業分布，最大宗是軟體及網路相關業，有54.3%資安人員都落點該行業，金融機構及其相關的產業則有7.6%，接下來則是教育服務業有4.3%。劉俊鴻解釋，金融業需求較大的原因，可能與金管會要強化金融資安的政策相關，而教育服務類產業的需求，則自於資安相關科系，也會需要資安人才來提升教育能量。

除了產業分布，另一項資安人才關注的重點，則是薪資條件的差異。針對年資3年以下的資安新鮮人，104統計，新人起薪最高的產業，是顧問與研發設計類產業，可達45K，再來則是半導體產業，起薪可達43K，不過，其他產業的資安類工作，起薪則大多低於35K，比如金融業與會計服務業約為34K，電腦及消費性電子製造業、電信及通訊相關業起薪最低，約為31K。

為彌補資安人才供需落差，政府從教育面推動人才培育

資安人才企業搶破頭，不只是因為企業數位轉型潮的內部需求，政府這幾年也積極扶植資安產業成為國家重要產業，且為了彌補資安人才的供需落差，政府早在5、6年前就從教育著手，透過系統性養成資安人才的方法，來穩定增加資安人才的數量。

從2015年起，教育部推動「資訊安全人才培育計畫」，目標提升大專院校資安教學能量，建立完整的資安人才培訓體系，同時也要透過產學合作，來培訓國際資安競賽選手，以及強調實務能力、能與產業接軌的資安人才。

幾年計畫執行下來，臺灣資安教育體系已然成形。高階資安人才上，教育部在2019年，就鼓勵4所大專院校，成立5個資安碩士學程。而今年已經邁入第七屆的新型態資安暑期課程（AIS3），則是鎖定大學學生，以期培養更多企業資安中堅人手。

AIS3透過暑期連續7天訓練營的形式，至今累計培育了近千位資安人才，主要以大學生為主。近兩年來，課程也從原先聚焦純攻擊技術結合Final CTF競賽的形式，逐漸與產業接軌，轉為與企業緊密合作，以專題競賽的方式培育更多企業所需的資安人才。

除了興辦AIS3課程，政府也與產業聯手，在2016年推行「臺灣好厲駭」課程，透過資安實務導師（Mentor）制度，以師徒制的方式來教學，在一年內請到不同業界與學界導師，來培育具有資安實務技術的學生。課程的目標栽培的對象，是具有一定技術能力與社群經驗的資安人才，比如參加過AIS3課程的學員，目標要培育學用合一的高階資安人才。

雖然臺灣好厲駭屬於高階培訓課程，但只要技術實力符合條件，不只大學、高中生，就連國中生仍有機會被錄取。其中，少部分表現優異的學員，更有機會獲得導師一對一的進階指導，若受到業界導師青睞，也有機會直接獲得實習或是正職的工作機會，接軌企業來學以致用。

不只中短期鎖定大學生來培養產業所需資安人才，資安人才培育計畫這幾年更是往下扎根，向國高中，甚至是小學邁進，要讓更多學子從小養成對資安的興趣。

AIS3專案計畫主持人鄭欣明指出，為了引起更多學生對資安的興趣，主辦方去年成立了AIS3 Club，來輔導全國各高中職、大專院要資安社團的運作，不只提供補助、輔導、協辦活動等支援，也整合各校資安社團，成立北中南跨校社群，讓更多學生有機會藉由社團來接觸資安，希望未來可以帶來源源不絕的資安新血。

在臺灣好厲駭接受培訓的學生，同樣將資安教育能量，回饋給國高中小學，2017年到2020年間，已經辦理了上百場高中職生的資安培訓課程，也已經將課程推動到國中與國小5、6年級。同時，主辦方也將高中職資安授課課程，設計成教材，提供6個課程模組給教師使用，讓老師在經過培訓與研習後，也能教授初階資安課程，持續擴大體制內的資安教育能量。

從學習到求職，臺灣資安人才也要接軌國際

資安是全球火熱的技術，資安培育計畫也不只在地深耕，也開始接軌國際，讓臺灣學子可以接觸到國外頂尖技術和趨勢。比如AIS3從2017年開始，攜手其他7個亞太資安社群，催生出AIS3的國際版，協同日本、韓國、新加坡、泰國、馬來西亞、澳洲、越南等國，輪流舉辦全球資安營活動（Globe Cybersecurity Camp，GCC）。臺灣AIS3計畫每年都會挑選表現優異的學生出國參加，增廣他們的國際視野。

AIS3培訓的學生，也有機會被選入CTF戰隊，向戰隊前輩學習，還能與前輩共同參與世界級CTF來傳承經驗。比如臺灣HITCON x BFKinesiS聯隊，就在2019年美國DEF CON CTF奪得第二名的成績，HITCON x Balsn聯隊則在2020年獲得同比賽第三名的成績，其中，BFKinesiS與Balsn隊伍的主要參賽成員，大都來自AIS3課程的培訓，這也意味著資安人才培育計畫，在推動不到5年的時間，就擁有培育全球頂尖資安競賽人才的能力。

臺灣資安人才接軌國際的管道越來越多元，也開始有非政府組織協助臺灣資安人才出海發展。比如Amazon資訊安全部總監陳浩維，就在2018年創辦臺灣未來基金會，要連結在海外工作的臺灣資安人才，來與國內人才交流。

臺灣未來基金會從去年底開始，與臺灣駭客協會、資安解壓所，共同發起了資安職涯讀書會，讓現役與未來留學生、資安前輩、有資安人才需求的企業能申請加入，在此交流經驗與技術，組成資安人脈網。同時，對於有意到海外就業的學生，海外資安工作者也共同貢獻過去經驗，建立起系統性的求職知識庫，降低海外就業的門檻，也能讓初出茅廬的資安人才，藉此規劃未來的職涯發展。

陳浩維指出，臺灣人具有勤奮、認真、負責的特質，且具有世界級的技術能量，加上長年受到中國駭客攻擊，對於攻擊手法也有一定程度的了解，這些條件都是臺灣資安人才的優勢，也具備成為國際級資安人才的潛力。

臺灣資安教育有5大目標，一是跨域教學以培育跨領域資安人才，二是培訓國際資安競賽選手，三是培育產業所需人才，四是向下扎根並發掘資安潛力學子，五是培養學生成為國際級資安人才。圖片來源／ISIP

社群助結交同好、吸收新知，更能汲取前輩經驗

除了政府和民間都紛紛動起來培育資安人才，過去十多年，還有一個重要的人才培育基地，就是臺灣資安社群，讓學生、資安新鮮人與資安工作者，都能透過不同管道來吸收資安新知、結交同好。這些社群包括學校、區域限定的類型，如UCCU、TDOH、BambooFox，也有全臺社群盛會HITCON，甚至全球性的社群OWASP，都能參加。

臺灣駭客協會也在2015年成立，以推廣資安為己任，積極推動資安相關社群活動的發展。

iThome舉辦的臺灣資安大會，同樣也是社群同好聚集的資安盛會。今年剛結束的活動中，也特別規劃了資安人才專區，讓不同工作職務、學習環境、成長背景的各類資安人才齊聚一堂，向資安新鮮人傳授職涯經驗，讓更多對資安懷抱憧憬的新血，能一窺行業專家的成長歷程，開拓他們對資安工作的想像。

比如戴夫寇爾執行長翁浩正，就分享了資安技能樹的重要性，鼓勵資安新鮮人要找到自己擅長的技能並深入學習，作為自己立足的資本。台灣大哥大資安長陳啓昌則強調，資安人才不能只會用技術專有名詞來溝通，要學會「講人話」！才能取得他人、尤其是管理階層的信任。

其他還有聞名全球的頂尖駭客Orange Tsai，分享了自己一路拿下世界冠軍的成長歷程；永豐金證券資訊安全部協理謝佳龍，則分享了自己跨國、跨產業的工作經驗；安永會計師事務所諮詢服務執行副總曾韵，更歸納出自己6個職涯轉捩點，分享曾有過的掙扎與體悟。

還有紅隊隊長許復凱、數聯資安資深IR技術顧問周哲賢、Panasonic IoT資安研究員賴婕芳，都分享了從事不同資安工作的職場實戰經驗；臺灣駭客協會首任秘書長李尚韋與學生計算機年會創辦人黃一晉，則是分享了社群經驗如何對現在的工作帶來助益。這些寶貴經驗，雖然無法完全複製，卻能帶給資安新手更多職涯規劃的啟發。

與企業接軌，AIS3資安人才培育從狂派轉為博派

AIS3專案計畫主持人鄭欣明指出，要長期培育人才，得先建立資安教育的典範，並深植到學生心中，當他們有所成就，就會願意承接前輩們的教育精神，回頭推廣資安。

在教育部資安人才培育計畫的推動下，臺灣唯一一個長期資安實務暑期營隊活動AIS3，已經走過6年，累計招收了近千名學生。AIS3專案計畫主持人，同時是臺科大資工系的副教授鄭欣明指出，AIS3屬於資安中階課程，較適合對資安有興趣，且已經一定資安能力的學生參加。

鄭欣明表示，AIS3主要有兩大目標，其一，是培訓國際資安競賽選手，也就是攻擊導向的「狂派」人才，尤其在AIS3開辦的前4年，更是以此目標來規劃課程，不只舉辦資安攻防賽，也安排學生與國際資安教育社群、CTF戰隊接軌。其二，則是要逐年培育能接軌企業的「博派」資安人才，來解決業界資安人才不足與人才的學用落差問題。對此，主辦方也在這兩年改變課程規劃，且開始與企業更緊密合作。

回顧了AIS3幾年來辦理營隊的成果，鄭欣明指出，剛開始舉辦AIS3時，課程規劃以資安實務技術為主，並邀請國內外知名CTF戰隊成員來授課，甚至有美國PPP戰隊成員、韓國BoB戰隊成員來臺授課，藉此來吸引學生目光。學生報名後，篩選方式以線上pre-exam進行，入選的學生除了上課之外，還能參加主辦方舉辦的Final CTF競賽，表現優異者更有機會獲得參加DEF CON CTF的資格。

2016年，AIS3規模擴展到北中南三地。隔年，主辦方也在Final CTF中，導入日本NICT（情報通信研究機構）的視覺化特效技術，讓參加者能體驗國際級CTF 競賽的氛圍。

邁入2018年時，講師陣容更開始納入了過去曾參與AIS3活動的學員，顯示過去培育的資安人才已經有獨當一面的能力，當年由AIS3校友組成的BFS戰隊，更打入DEF CON CTF，榮獲第12名的成績。這一年，優秀隊伍更能獲得參加日本最大規模駭客比賽SECCON CTF的資格。

培育了許多狂派資安人才後，主辦方也逐漸發現，產業界也存在了龐大的資安人才缺口，「所以我們做了重大改變，決定在2019年取消舉辦Final CTF。」鄭欣明指出，大約三年前，主辦方為了讓學生了解，資安不僅限於CTF，更有企業防禦的面向，因此改以專題競賽的形式，來取代Final CTF的舉辦。原先分散北中南三地的課程，也改在同一地點舉行。

近兩年來，AIS3課程也延續了專題競賽的形式，去年的課程中，主辦方與企業更緊密合作，來推出更具產業經驗的題目，更提供相應的課程與專題指導。今年，也決定改變徵選的方法，將過去透過pre-exam來篩選報名者的辦法，改為一半pre-exam、一半甄試的方式，也限制AIS3的參加次數以兩次為限，讓更多專長與特質的資安新血參與。今年也預計招收150位學生來參與培訓。

除了辦理暑期課程之外，AIS3主辦團隊也辦理了初階CTF比賽「My First CTF」，在每年5、6月舉行，針對讓高中職生與資安初學者來推廣，期許學生能燃起對資安的學習熱忱，4年來更已經累積了超過500位學生參加。表現優異者更能獲得參加全球資安營隊（Globe Cybersecurity Camp，GCC）的機會。

針對資安技術更加純熟的學生，AIS3主辦方也辦理了高階EOF CTF競賽，要透過建立資安實戰演練平臺，讓學生互切磋資安實務能力，更要藉由這項競賽，提供高階CTF實戰技術訓練，選拔優秀參賽者成為戰隊選手，讓學生有機會躍上世界級的競賽舞臺。4年來已經有共計154人參加。

強調實作與自學，臺灣好厲駭以師徒制培育菁英人才

臺灣好厲駭實務導師制度負責人曾龍指出，沒有產學界的師資，就不會有師徒制的課程誕生，當前資安人才豐沛的教育能量，來自於各界導師的無私奉獻。

為了進一步提拔高階資安技術人才，教育部資安人才培育計畫，從2016年開始，推動高階資安人才培訓課程「臺灣好厲駭」。與AIS3不同，臺灣好厲駭目標培育的是更高階的資安技術人才，因此在師資上，不只集合國內產學界頂尖師資，更透過資安實務導師（Mentor）制度，以師徒制的方式來教學，目標要培育具有資安實務技術能力的學生，以及國際級資安競賽的種子選手。

崑山科技大學資工系副教授曾龍，同時也是實務導師制度與資安扎根計畫負責人指出，這項課程僅限定學生報名，且因課程內容較為精深，主辦方會對學員進行篩選，第一階段會依據報名者是否參加過資安活動、相關資安培訓課程，以及報名者的專長、能力、興趣等條件來進行評選，通過會進入與導師面試的階段，最終篩選出每一年的培訓學員。

根據歷年的錄取人數統計，從2016年44位報名錄取33人，完成結訓有23人，到去年98人報名錄取了66人，加上61位舊生，參與課程的人數已經有顯著成長。曾龍指出，在這些錄取者之中，少部分的學生更能獲得導師一對一的進階指導，但進階指導的資格，取決於學生是否積極自學、能否了解自己想要精進的方向及其技術程度，並非有意願就能參加。

在為期一年的課程中，授課教師的師資陣容堅強，過去曾參與的業界教師包括戴夫寇爾Allen Own、Orange Tsai、奧義智慧的Birdman、HITCON創辦人Tim Hsu，以及Team T5、趨勢科技、資策會、中華電信等企業的資安技術人員等；學界教師則有臺科大、臺大、交大資訊相關科技的教授，曾龍也在其中，各自負責不同技術課程的指導。

課程主要可以分為三大類型，分別是核心課程如滲透測試、惡意程式分析、威脅獵捕與數位鑑識，跨域課程如金融資安與區塊鏈安全，以及關鍵課程如雲端安全、AI與資訊安全、資安產品與工具研發等。

曾龍也列舉出過去曾舉辦的課程內容，比如從CTF戰隊成員解難題的過程中，學習惡意程式分析、漏洞測試等技術的實戰運用，更曾舉辦過攻防訓練課程，將學生分為兩隊，並給予對方的漏洞，使其互相攻擊與防禦，更請到CTF戰隊成員來教學。

其他可以學到的技術如Advanced Binary Exploitation、Linux與Docker安全、Fuzzing、Symbolic Execution、Memory Forensics，還有數位鑑識軟體Encase的實務應用，主辦方也與資策會資安所的實驗場域合作，來進行資安測試的實務操作。

曾龍指出，在指導學生技術時，除了豐富的課程內容，更重要的是教學方法，不是只操作給學生看，還得讓學生實作與提問，這些實務教戰的環節，更是教科書上看不到的內容。老師們也鼓勵學生積極參與各種研討會，並在研討會後，試著實作聽過的內容，來精進資安實力。

儘管已經將許多資安實戰技術納入課程，但曾龍也坦言，還有些議題尚未列入其中，比如AI資安、零信任網路、MITRE ATT&CK、車聯網、eHealth、5G、雲端、量子電腦等，未來也將逐步設計到課程中，「我們正在努力。」

推動培訓課程後，主辦方2020年初也調查了學員的就業、實習與升學狀況，畢業後的學生，14位已經在國內知名資安廠商或企業就業，比如資策會、中華資安國際、Team T5、奧義智慧、可利可資安、趨勢科技、Line及戴夫寇爾等，也有20位學員進入企業實習、81位繼續升學。

相關報導