擁抱零信任架構商機，本土身分安全產品業者具有多種競爭優勢

這一年來，政府積極推動零信任架構實踐，根據去年技服中心（現已併入國家資通安全研究院）的規畫，我國的政府零信任架構聚焦決策引擎、存取閘道的打造，從身分鑑別、設備鑑別、信任推斷這三大核心，依序做起，以利未來的動態身分存取管控，做到持續驗證，因此，身分鑑別就是2023年最主要的推動目標。

尤其政府近年強調厚植臺灣資安產業自主研發能力，因此，在零信任架構的推動上，預告將結合政府網路向上集中防護需求，採取資源門戶的部署方式，也參考美國國家資安卓越中心（NCCoE）作法，推動國內廠商能積極參與開發，以及整合出能符合政府零信任架構需求的解決方案。

如今，這項計畫有11家廠商的身分安全產品，通過「身分鑑別」功能符合性驗證，當中有8個是基於本土廠商的產品。

以臺灣資安廠商而言，精研身分安全技術而入選的業者不少，我們找來其中3家現身說法，瞭解國內廠商在身分安全技術的產品發展，以及如何看待政府零信任架構推動下的商機。

圖片來源／國家資通安全研究院
去年臺灣政府零信任架構成形，同時推動商用產品符合NIST零信任架構，規畫採取資源門戶的部署方式打造決策引擎的三大核心機制，同時提出完成零信任登入流程，其中身分鑑別產品驗證是最先啟動的一環。

來毅數位科技：臺灣推動身分安全時機剛好，其實不算太慢

首先，在2012年成立的來毅數位科技（Lydsec，原名來誼數位科技），他們的發展相當特別。

該公司董事長林政毅表示，他們最早的發展可追溯至1987年，家族長輩Maw-Tsong Lin在瑞典創辦的Todos，當時就是專注於身分安全產品，開發可產生OTP碼的硬體式網路身分認證產品，不論是可獨立運作，或是連接電腦、整合讀卡機、按鍵式等幾十款產品，直到2010年Todos被當時的Gemalto收購。

2012年後，他們注意到行動裝置普及的態勢，繼而開始聚焦於軟體式網路身分認證產品的發展，一方面，Maw-Tsong Lin在瑞典成立Keypasco公司，另一方面，林政毅也在臺灣成立來誼數位科技，雙邊共同研究發展這方面的解決方案，並在全球16國銷售Keypasco系列產品，2016年改名為來毅數位科技，2019年他們併購Keypasco的資安業務。

關於政府推動零信任架構，並從身分鑑別開始著手，林政毅表示，對於他們這類身分安全產品廠商而言，確實起了推波助瀾的效果，畢竟，他們在11年前提倡多因素身分驗證（MFA），當時很多人還不知道MFA是什麼，因此花了相當多時間，在持續對市場進行教育。

最近這兩年，在政府大力鼓吹零信任之下，由於第一個議題就是涉及身分認證的環節，因此算是第一個成為受惠的產業。再者，近年政府促進產業資安政策的推動，也喚起臺灣企業資安意識，尤其是這兩年上市櫃公司都在設置資安長，資安長上任後也將進行資安防護盤點或健檢，進而尋找相應的方案，這都是利基點。

來毅數位科技董事長林政毅表示，十年前他們在提倡MFA時，需要花相當多時間做市場教育，現在政府推動零信任架構，並從身分鑑別開始做起，有望帶動政府、金融以外產業重視身分安全議題。

而且，過去產業間，金融業一直是受到高度監管的單位，因此過去對於身分安全方面就有一定的需求，例如，早年就有企業與組織採用硬體Token產品等，因為這是Must to have，但對於其他產業而言，多半則是Nice to have，如今隨著政府機關推動無密碼登入、政府零信任架構，有了政府帶頭，可以更容易擴散到其他產業，擴散到企業端。

特別的是，由於來毅數位科技已將產品推向全球多國市場，根據他們的觀察，相較於其他國家，臺灣在身分安全方面的推動腳步是否會太慢？

他認為，如果是跟美國相比，臺灣的確比較慢，但與鄰近國家相比，我們的腳步走得其實算前面。例如日本比臺灣慢一些，若是越南、泰國等東南亞國家，進度更慢，由於這些國家沒有相關規範去帶動，因此在這波浪潮之下，就會推動得較慢。

從硬體發展到軟體，歷經兩大階段，回顧這些年來，林政毅表示，身分認證技術的基本邏輯，其實很相似，基本的知識也都大同小異，重點在於如何能夠適應整個時代的消費者，或使用者習慣。

以Keypasco的產品設計來看，最初他們的思考點，就是如何在不安全的裝置上，提供安全的身分認證，因此，將MFA列為必要功能，如今大致可畫分出兩種類型的產品：一種是API模式，可適用B2B2C及B2B的場景，另一種是Proxy模式，專門用於B2B的場景，對於市面上普遍存在的應用系統，能夠予以整合。

而在這些年來，林政毅表示，他們已經開發出雙通道認證架構，藉由第二條通道驗證登入資訊，避免中間人攻擊及釣魚攻擊，而且，產品本身具備獲取設備特徵值的能力，同時，還結合了地理位置、時間條件存取限制，以及風險引擎、監控設備的健康狀況等特性。

在這10年間，他們持續因應各種產業需求，其實已經處理過各種不同的情境，所以能提供相應方案與版本，而對於這次政府零信任架構的驗證，由於規範當中希望採用FIDO架構，因此，他們也依據這樣的需求，調整出能夠相應的版本。

特別的是，除了政府推動確實可以幫助到產業，他認為，國際間全球大廠開始要求，要求自家的供應商能符合相應的資安規範，而這樣的氛圍也是促進產業商機的關鍵之一，因為，他們手上就有一個光電業案子已經這麼做，用戶先將供應商平臺應用API模式身分認證，後續這家公司也進一步採用Proxy模式，讓內部員工的身分認證也都能夠強化。

偉康科技：不只政策加持，供應鏈也成推力

於1998年成立的偉康科技，過去主要發展數位金融解決方案，雖然非一開始就從身分安全技術研發起家，但該公司總經理陳怡良表示，隨著2017年行動應用發達，帳密安全問題備受關注，讓公司技術單位開始發展生物辨識解決方案，接著2018年，由於FIDO標準受到更多國際重視，這時他們開始研發基於FIDO標準的解決方案，也為了保護FIDO技術的安全，設計白箱加密演算法，讓加密金鑰碎片化、不易被竊取。因此，他們大概是在6年前，跨入身分識別的技術領域，一開始是主要鎖定B2B2C的應用，讓他們金融企業的客戶有更好的身分認證方式。

對於今日政府零信任架構的推動，從身分識別做起，是否帶動了相關資安需求與商機，陳怡良認為，這可以分成幾個階段談起，就他的觀察，主要是在三年前，也就是2020年之後，有了明顯的變化。

首先，是在2020年疫情爆發期間，這時居家上班風潮，VPN使用情形增加，這也讓金融業對於內部人員身分安全更加重視，他們看到金融業居家上班，因此產生更安全身分登入的需求；其次，是VDI遠端桌面也同樣要有更安全的無密碼登入需求；第三個新浪潮，則是隨著供應鏈而起，由於國內許多製造業身處美國科技大廠的供應鏈體系，在受到供應鏈的稽核規範下，因此有企業開始將FIDO技術綁定VDI遠端桌面的需求。由於有這些市場需求的帶動之下，也促進著他們的產品研發。

而以政府推動上來看，陳怡良認為，真正在市場上獲得較大迴響的關鍵事件，是2021年金管會宣布金融FIDO成立，當時感受到很多金融業者都很關切這方面議題，之後2022年政府零信任架構發布，算是新一波帶動。

偉康科技總經理陳怡良指出，從產業類型來看，對於身分安全強化最早會是金融業與政府，第三他們認為是製造業，主要是受到供應鏈資安稽核的驅動，第四則會是近期政府點名的電商產業。

陳怡良表示，2021年與2022年是他們感受最深的時期。而且，偉康在2021年，已將FIDO技術方面的產品核心，變成雲端服務提供給企業，推出基於SaaS服務的OETH身分認證平臺，因此對於偉康而言，政府這方面的推動確實帶來很大的動力。最近，他們也將上述平臺重新設計為OETH One。

關於政府零信任架構的身分鑑別驗證，陳怡良表示，對於投入研發的資訊廠商有好處，因為政府有政策支持，市場有熱度，大家投入的程度也會更高，而且驗證過程也都很嚴格，因此他們依照資安檢核面向與條款，提供對應版本，以滿足技服中心的驗證規範。

例如，規範主要依據臺灣政府現況強調的向上集中而進行，但他們原先是採分散式設計。陳怡良表示，他們既然能「分散」，也就能「集中」，關鍵主要是複雜度問題，而一般產業的需求可以是分散，也可以是集中，因此，他們也能對應資安院要求，提供合適的產品。

若從更廣角度來看，像是美國政府推動零信任架構，會聚焦在身分、裝置、網路、應用程式與資料等不同面向。

因此，以他們目前的方案而言，是從身分到裝置之間的範圍，但在網路這一層面，由於市場上已有很多外商產品，這也不會是他們目前擅長的領域，因此之前就與外商產品進行整合。

較特別的是，他們認為應用程式與資料的層面，將牽扯存取權限的細膩度，因此他們也會朝這方向去研發。因為他們的研發中心也涵蓋AI與資料的應用，先從資料控制著手，再往前做回來，他覺得這樣的發展也很不錯。

至於國際市場的拓展，偉康科技也正開始行動。他們從2022年開始布局，在2023年5月宣布採國際策略合作方式，與大宇資訊旗下的安瑞科技（Array Networks）進軍印度市場，希望結合偉康FIDO技術與安瑞的SSL VPN，可以較容易地快速切入國際市場發展，而且不只是印度，在泰國、日本等市場，雙方都會有共同合作來推動。

台灣網路認證：看好PKIoT領域將投入發展

作為很早就通過身分鑑別的廠商之一的台灣網路認證，從1999年成立就鎖定身分識別領域的電子憑證發展。該公司策略發展部產品總監連子清表示，他們在2016年開始看重免臨櫃的商機，成立TWID身分識別中心多元整合服務，打造多元身分識別解決方案，發展跨產業應用的客戶身分識別，後續到了2019年，也協助內政部建置Taiwan FidO臺灣行動身分識別。

而在原有的電子憑證方面，隨著電子文件、合約的需求，電子簽章的應用也持續擴增，包括電子文件簽署、電子保單認證等。綜合而言，其產品服務已經涵蓋4項，分別是：多元身分識別服務、信物管理服務、電子文件簽署服務，以及資料共享。

如今，隨著2022年政府零信任分為三階段開始推動，他們也將原有的身分識別技術，轉化成相應的解決方案。

對於資安院提出政府零信任架構的驗證，他們認同這對身分安全廠商是一大利多，同時也提供其他更深刻的觀察。

連子清表示，資安院目前畫分三階段進行，從身分鑑別、設備鑑別，到信任推斷，由於通過身分鑑別認證多在去年年底，因此，今年商機可能才會發酵。

台灣網路認證策略發展部產品總監連子清認為，這一年來政府零信任架構的推動，2023年雖然不是一個轉捩點，但可說是一個挺好的時機，尤其是烏克蘭的事件後，政府大力推動網路安全，也促使產業間變得更加重視。

另一方面，雖然現在剛進入第二階段的設備鑑別，可卻會面臨一些尷尬的局面，主要原因在於，這三階段並非同時進行，因此，前面階段身分鑑別的方案，與位處後面階段的設備鑑別、信任推斷的方案是否相容，是必須注意的。

具體而言，因為資安院目前相關規範還沒全部完成，像是設備鑑別才剛開始，信任推斷的驗證內容尚未發布，因此，如果此時要與客戶去談政府零信任的產品與服務規畫，容易面臨現在無法提供全套方案的情況。

整體而言，2023年會是好時機，但可能還要再過一段時間，等PoC做完或是與後續階段一起推動之後，才會更有感。畢竟，政府帶頭做，還是要有實際的應用落地，因此可能還要再等等。

他還觀察到一些值得留意的狀況，像是：若要參與第二階段產品的驗證，似乎也要通過第一階段驗證，但有些廠商可能有擅長領域不同的狀況。觀察國外的作法來看，其實會有各階段分屬不同廠商的搭配方式。此外，由於第二階段：設備鑑別的涵蓋範圍其實不小，目前在設備健康管理方面，可能會出現到下個階段執行的可能性。

就台灣網路認證的方案而言，擅長的是身分鑑別與設備鑑別前半段的部分。單就身分鑑別方面，連子清也提出更多說明，這是因為，以國際標準而言，身分識別分為註冊階段、信物管理、信物驗證，這也是他們涵蓋的部分，不過，資安院提出政府零信任架構的身分鑑別，其實並未涵蓋到定義註冊階段的部分，他認為未來仍應顧及這方面需求。

此外，政府共同供應契約新增「零信任網路平台安裝建置服務」的標案，對廠商而言，除了要通過政府零信任架構驗證，也要申請共同供應契約。廠商可能會憂心目前這樣的提供無強制性，公部門若要建置零信任環境，不一定要從通過資安院驗證的廠商去選擇，因此能否帶來顯著市場成效，仍有待觀察。

至於未來會有哪些發展焦點？除了跟上政府零信任架構的腳步，台灣網路數位也看好PKIoT的發展，也就是將憑證與IoT做結合，這會是他們未來將發展的重點，目前國外已開始有廠商在做這一塊，至於KYC方面的應用也會是他們接下來的目標，補強身分識別的應用。

期盼臺灣資安產品版圖也能擴大

無論如何，身分安全在零信任架構的重要性不言而喻，像是國際大廠Google與微軟，都公開強調這樣的關係。

例如，去年底Google Cloud台灣技術副總經理林書平在一場演說中，就提到Google零信任的做法，強調以身分取代網路作為存取控制的安全邊界，他們的零信任安全模型，是從身分角度來看信任，共分成五大要素，包含了使用者的身分、裝置的身分，機器的身分、服務的身分，以及程式碼的身分。

今年初，我們拜訪微軟了解其零信任發展概況時，該公司專家技術部資安副總經理周彥儒表示，微軟就是以Azure AD（現改名Entra ID）為基礎，達成零信任在身分驗證環節的要求。

臺灣開發資安產品的業者不少，在身分安全領域已存在一些業者，如今在零信任架構推動的風潮之下，雖然有蓬勃發展的機會，但很難在短時間內像國際大廠，擁有豐富的產品線、建構完整、全面的零信任解決方案，因此，如何能在零信任產業鏈獲得一席之地，並拓展至全球市場，整合或許是一大關鍵，也是接下來資安界必須持續關注的重點。

 相關報導