【2023資安人才趨勢總覽】資安人才需求大，內訓與自動化成關鍵

在數位與網路的高速發展之下，近年來面臨的資安威脅日益嚴重，若從世界經濟論壇（WEF）的全球風險報告來看，近十年來的全球前五大長期風險，種類已從「經濟問題」類型逐漸轉變成「環境問題」類型，而關於「科技問題」類型的風險，也呈現逐年竄升的情形，更是IT界無法迴避的挑戰。

WEF全球風險報告特別指出，從2012年開始，網路攻擊的風險就竄升至第4名，到了2015年，還有資料詐騙與資料外洩的風險、關鍵基礎建設中斷的風險，以及科技濫用的風險，排名也都在迅速竄升至前20。 

然而，為了應對日益增加的網路安全威脅和攻擊，不只要有資安產品與技術的研發、加密演算法的設計，也仰賴資安人員去治理、規畫、導入與實作，並負責防禦建設與應變。因此，在這種種工作的背後，都需要仰賴各類型資安人才，始能完成每一塊拼圖。

甚至我們在整體環境的發展上，在法規制定、產業標準制定，以及政策與執法單位等不同層面，也都要有資安人才實際付諸行動，才能對應整體國家社會經濟發展。

事實上，十多年前，網路安全屬於新興的職業類型，但由於它過於龐大與複雜，因此，面臨許多挑戰，例如，如何因應市場需求提供更多資安人才供給？如何使合適的人擁有合適的資安技能？如何盤點出網路安全相關的所有知識技能？如何幫助資安從業人員，以系統化的方式學習資安知識？事實上，直到2023年的此刻，這些需求已然成為全球與各界關注的重大議題。

資安關鍵戰力在於人才，政府法規要求增多，也帶動資安人才需求

隨著網路攻擊威脅日益嚴峻，在資安事件頻頻傳出的威脅態勢之下，不僅全球都在強調資安的重要性，政府機關與民間企業也更加重視資安建設與投資，在此同時，其實也帶動了資安人力的需求，畢竟事在人為，有「人」才能推動與落實資安。

以臺灣而言，政府長期持續推動本土資安產業發展，促使資安人才需求逐年上漲，再加上企業面臨資安威脅衝擊營運風險，迫使更多企業須主動強化資安，並希望招攬更多資安人才。

根據iThome在2018年進行的CIO大調查，當時招募資安人員而開出職缺的企業占21.4％，而接下來5年，開出資安職缺的企業比例持續增加——2019年是23.6％，2020年是22.5％，到2021年的31.3％，2022年的30.5％。

如今最新2023年iThome CIO大調查的結果中，招募資安人員開出職缺的企業更是來到37.5%。這不僅顯示出，我國對於資安人力的需求，有逐年攀升的趨勢。換言之，原本每5家公司有1家公司招募資安人才，現在變成每3家公司就就有1家公司要招募資安人才。

這當中，以2021年後成長幅度顯著，而此一變化很可能也與臺灣推行的法令、政策有關。因為，近幾年我國政府為促進產業資安強化與治理，從法規面出發，具體要求資安人力的配置，像是資通安全法對於公務機關及特定非公務機關（八大關鍵基礎設施），以及金管會對於第一級與第二級上市櫃公司的要求，均規範了需配置相應的資安專屬人力。

從這些政府機關到民間企業的規範，我們認為，這等於是在市場上創造了更多資安人才需求，同時也期盼能借助市場之力，帶動資安產業薪資增加，以及帶動資安人才的供給。

因應人力不足的難題，資安產業也積極發展自動化應用

除了政府機關與企業重視資安，要求配置相關人力的舉措，大家也面臨人力不足的困境。

例如，2018年iThome報導MDR服務興起，當時有些業者表示，企業欲強化及時的威脅檢測與事件處理能力，但也面臨資安管理層面的挑戰，例如，在資源有限情況下，公司的資安人員處於編制不足的狀態，或者是本身設置的資安監控中心收到大量的資安警示，卻沒有足夠人才，去判斷優先處理順序及深入分析處理。因此，當時市場上就預期，可能會有更多資安服務代管業者（MSSP）提供MDR的類型服務。

在這之後，我們接續看到SOAR、ADR，以及新世代SOC、SIEM等資安解決方案的發展，當中也聚焦自動處理技術的突破，很多廠商不僅強調具有更即時偵測與應變的能力，也藉此間接降低本身的資安人力負擔。

當然，現在全球正處於大型語言模型（LLM）、ChatGPT等技術當紅之際，不僅有望帶動許多工作領域生產力上升，延伸而出的資安面應用也受關注。

回顧過去資安產品與服務，早在2014年，我們看到新創公司Tanium的資安軟體產品，提供結合自然語言處理技術進行事件查詢的用法，吸引眾人目光，而隨著技術不斷進化，每年都出現重要突破，尤其是在2023這一年最具代表性。

例如，GitHub與OpenAI合作開發的智慧工具Copilot，新加入基於AI的漏洞過濾系統，能夠及早阻擋憑證寫死、SQL注入等不安全程式碼的產生；微軟推出的Security Copilot，可幫助網路安全人員提供資料關聯分析，並供應變建議，或是透過上傳程式碼、Log記錄檔，就能產生資安漏洞總結。

有了上述這類更聰明的輔助工具，對於新進人員來說，如果必須在短時間內處理不擅長領域的應用，AI可以是減少工作負擔的得力助手。不過，隨著整體資安人力市場的需求高漲，如何促進人才培育更符合市場需求期待，以及如何健全資安人才生態系，仍是資安技術能否持續茁壯的長期發展重點。

比起過去資安人才養成面臨的困難，現在有更多資源可帶來幫助

面對人力不足的挑戰，現階段是否有好的應對方式？儘管大家仍在持續探究，除了期望政府帶動，以及企業、學校、社群、資安界能通力合作，但同時，我們該如何抓住這樣的機會，發揮自己的優勢，也將會是更好的思考點。

例如，對於企業組織而言，積極爭取更多優秀資安人才已是常態，從內部人力養出資安團隊與留才更受看重。

更重要的是，相較於過去，大家培育人才時，單從即刻需求出發而受限，如今，不僅是資安解決方案朝向自動化減輕人力負擔，幫助投入資安工作的門檻降低，而且，如今在人力團隊規畫與技能需求上，有更多參考資源可供借鏡。

回顧過去，由於每個組織看待資安人才時，都有共通與各自的特殊考量，這也造就大家對於資安人才的詮釋方式，存在很大的落差。不僅是各自所提出的工作職務名稱不同，對於工作所需的資安技能，也都有各自的闡釋方式。

因此企業面臨的一大問題就是，如何掌握人才需具備的知識技能，才能更有效地幫助招聘與培訓。而對於培訓機構與有志從事資安工作的人，也需要有方向能夠依循，才能讓資安勞動力市場形成正向循環，並縮小產學落差的鴻溝。

現在，對於內部培訓單位、培訓機構與有志從事資安工作的人而言，如今有了更多職能框架參照，要建立培訓目標達成表的九宮格，比過去容易許多；對於既有資安從業人員而言，如何不讓自己落於人後，開發新技能或盤點自身技能缺口，同樣也比過去簡單。

只是，即便現在比過去容易找出方向，但重點還是在於行動。正如我們在前面說的「事在人為」，企業與組織迎接資安人才挑戰的同時，也應看看內部是否能利用現有資源來強化人才養成。

另外，應對資安挑戰，除了人才培育，組織也需實行全員資安意識教育，相對地，這方面的教育人才同樣需要滿足，甚至對於國家政府而言，一般民眾、高中、大學教育也該有相應的通識課程計畫，提升基本網路風險認知，這項問題多年前就已經受到呼籲要重視，希望2023年後能有更多進展。而且，在資安意識變得更普及之下，或許也能讓更多人因產生興趣而跨入資安領域。

資安人才專區已成臺灣資安大會重點活動

由iThome主辦的臺灣資安大會，連續三年都舉行了Cyber Talent資安人才專區的活動，藉由數十位資安職場上的專家，帶來資安職涯的經驗分享，資安人才成長的攻略盤點。攝影／iThome

 更多相關報導