一、 資安產業現況
我國資安產業範疇以「資安產業鏈上、中、下游」與「產品服務型態」進行分類。資安產業上游分類,以提供資安產品包括終端、網路、雲端等應用場景之資安防護產品與服務外,也加上物聯網安全;而中游的資安營運服務類,則包括日常資安營運服務的資安營運管理服務及資安專業顧問類,如:資安檢測服務、資安顧問服務、資安鑑識服務等;最後資安產業下游則為資安支援服務體系,包括國內外資安產品服務的代理銷售服務、系統整合服務、資安教育及資安保險等。以下就2020年國際資安產業發展趨勢及我國資安產業發展現況進行說明。
(一) 國際資安產業發展動向
數位轉型加速迎來了一個數位優先(Digital First)的世界,擴大數位技術對產品服務生產和消費的影響。IDC預期到2023年,全球超過52%的GDP都將由數位轉型及數位技術投資而產生,亞太地區則至少有65%的GDP來自數位技術相關貢獻。隨著越來越多的企業邁向數位優先,預計數位轉型及相關技術支出的成長速度將是整體IT的2倍。企業為了因應近疫情的不確定性,對於資安防護需求從疫情初期的居家辦公的一人分公司(Branch One)進一步擴展至混合工作環境的管理,進一步觀察疫情後企業IT環境,通常具備三大特性:應用分散、資安部署缺乏整合及服務對象多元。這三大特性讓資安的管理與部署變得更加困難。因此,企業的資安防護應以應用為核心,從平台出發,例如辦公室列印環境走向混合辦公環境之發展,以及雲端為基礎,列印裝置已成為物聯網的重要一環,由列印裝置所創造的網路攻擊因此較以往更多。過去採取之固定邊界的資安架構,已經難以抵擋愈趨複雜的威脅攻擊。因此IDC預估2023年將有55%的企業把一半的資安預算放在跨技術的生態平台上,以實現完整的資安防護。
根據Gartner資料統計,2019-2025年全球資安市場(Total Information Security and Risk Management End User Spending by Subsegment)從1,265億美元成長至2025年達到2,329億美元,年複合成長率(CAGR)為11.2%。細分市場,預估2022年成長最高的市場為雲端安全,大約14.44億美元成長率達35.8%,其次為應用安全,成長率達23.5%。另外,基礎設施防護成長率達16.1%、身分訪問管理成長率為14.3%、綜合風險管理成長率14.6%、資料安全成長率達13%、網路安全設備成長率達10%左右相對較高之成長。此外,整體資安服務市場在2022年出現小幅下降,但預估2023年將恢復成長趨勢,主因為企業將安全服務委外託管,
IT外包可視為企業潛在成本的優化方法,也是在疫情危機中避免沉重的資本支出及企業快速恢復運營的方法。
觀測國際資安政策發展趨勢,美國致力改善國家資通安全,零信任已成為重要資安推動策略,美國行政管理與預算部門(Office of Management and Budget, OMB)公布《聯邦零信任戰略草案》,內容包括:跨聯邦政府單位需要強化身分驗證;不再依賴邊緣安全策略,應依賴加密與應用程式測試;能識別政府單位的每種裝置與資源;資安反應要能智慧化和自動化;雲端服務使用須確保安全與穩健性。《聯邦零信任戰略草案》之目的為,奠定所有聯邦政府之零信任網路建置基礎,以邁向高成熟度之零信任網路架構,並期望在2024年完成推動。
此外,英國政府於2021年11月24日提出產品安全及電信基礎設施法案(Product Security and Telecommunications Infrastructure Bill),簡稱PSTI法案。要求物聯網供應商提供網路連線服務之公司或其他數位科技產品之製造商、進口商,及經銷商均須符合新網路安全標準,並對未遵守規範者處以巨額罰款。PSTI法案之通過將保護消費者免受資安威脅,並使政府得以導入更加嚴格的安全標準。該法案之內容包含:禁止數位科技產品業者使用單一且通用之預設密碼,產品預設密碼都必須有所不同;供應商應具備漏洞揭露政策,並應向客戶公開企業正採取何種防禦作為,處理該安全漏洞;公開相關聯繫資訊或建立聯繫平台,使安全研究人員或其他人發現產品缺陷及錯誤時方便聯繫;另外,針對不符合要求之產品或服務,政府亦將有權阻止其於英國境內銷售。
(二) 2021年臺灣資安產業發展動向
2021年我國資安產值達603.5億元新台幣,2016-2022年資安產值年複合成長率(CAGR)為11.3%。整體產業結構上,我國資安產業產值仍以硬體出口為主,包括「終端與行動裝置防護」、「網路安全」兩大類所佔比率較高,此兩類產值均已突破新台幣百億大關,主因為因應雲端服務與資料中心網路高速化需求,帶動雲端及高速專屬網路安全設備的成長。
2021年我國「終端與行動裝置防護」產業產值突破百億,達131.3億元新臺幣,年成長率達8.6%。由於網路攻擊者經常利用身分驗證的弱點,非法取得帳號權限,因此,身分驗證管理成為資安重要的一環,採用多因子驗證可強化身分驗證安全防護。遠距辦公帶動身分與存取管理(IAM)等解決方案需求,包括生物辨識模組、安全晶片、PKI應用、特權帳號管理等硬體產品。
2021年「網路安全」產業產值達168.8億元新臺幣,較2020年的157億元成長率達7.7%。企業在面臨日益複雜的新型態網路攻擊時,資安防護除了防火牆、防毒軟體等基本防護外,會進一步導入統一威脅管理(Unified Threat Management, UTM)或入侵偵測及防禦系統(IDS/ IPS)等設備,可見企業需要能主動防禦的安全設備,以阻擋日新月異的網路攻擊。
在「資料與雲端應用安全」方面,2017年資料與雲端應用安全產值為23.6億新台幣,2021年達31.9億新台幣,成長率為5.2%。走上雲端已成為企業數位轉型的一部分,越來越多企業開始將資料儲存到雲端,駭客看準雲端商機,針對雲端的網路攻擊也逐日增加,因此,預期未來資料與雲端應用安全市場將快速成長。
2021年我國「物聯網安全」產業產值為25.9億新臺幣,年成長率達16.1%。由於物聯網安全具有跨產業的特性,解決方案包括Security IC、IC PUF、嵌入式系統防護產品及工業控制系統(ICS)資安防護解決方案等。
資安營運管理服務受惠於國內資安政策及高科技產業受到資安事件影響,國內資安營運管理服務需求有所提昇,資安營運管理服務產值由2017年的41.3億元,成長至2021年達64.4億元新台幣,成長率達11.4%左右。企業委由資安營運管理服務廠商以SOC監控方式,提供早期預警、資安設備管理、資安事件監控與通報、事件緊急應變、災害復原等服務,企業尋求資安營運管理服務的需求愈趨提高。另外,資安專業服務包括資安檢測分析服務、數位鑑識服務、資安顧問服務等,2021年產值為76.2億新台幣,相較於去年成長9.6%。
在資安系統整合建置與代理服務方面,由於國內企業採購資安產品或服務時,不論採用的是國內或國外進口產品,大部份都還是透過系統整合商或代理商購買,所以在國內資安市場逐漸打開,需求成長帶動資安系統整合建置與代理服務成長,產值由2019年的83.8億元成長至2021年的100.8億元新台幣,年成長率達11.5%。
最後在其他資安支援服務方面,主要包括資安保險與資安教育訓練服務等,這幾年在政府政策強力推動下,資安意識已經逐步提升,企業對於資安人才的需求也很殷切,因此資安教育訓練服務有不錯的成長。2021年資安教育保險產值達4億新台幣左右,成長率為8.3%。
資料來源:工研院產科國際所(2021/12)。
圖1、2021年我國資安產業發展現況
二、 2022年我國資安產業發展契機
中美科技戰引發各國政府對於資安的高度重視,未來全球政經局勢恐將朝「大政府」的趨勢發展,為資安產業帶來新契機,相關資安軟體平台服務、硬體設備等,需求可望提高。
隨著遠端工作與數位轉型風潮興起,駭客能利用的攻擊途徑也持續增加。為此,資安產業應著手提高自動化程度以及整合度來因應,像資安協調、自動化與回應(SOAR)、雲端安全狀態管理(CSPM)以及延伸式偵測及回應(XDR)。此外,疫後的雲端應用增加,IT環境的變化引領雲端資安市場需求,以軟體即服務(SaaS)的型態所提供的託管安全服務,已呼應越來越多的企業需求,包括身分識別與存取管理(IAM)、安全郵件管理、分散式阻斷服務(DDoS)攻擊、事件檢測與回應等。
近期元宇宙(Metaverse)被熱議,隱私與資安也成為影響元宇宙發展的最大黑洞。元宇宙為沉浸式社群連結,是VR/AR的應用提升,勢必搜集大量的生物特徵或周遭環境等數據;因此,不論是穿戴裝置遭駭客入侵,或元宇宙入口平台數據遭濫用,亦或虛擬資產被盜等網路資安風險事件會逐漸增加,反而更需要精密的資安防護。元宇宙應用快速發展之際,高速、安全且不間斷的加解密技術將是未來趨勢,亂碼化設備(HSM)需求也勢必出現爆炸性成長。
展望未來發展,除推動國內資安產業化,追求資安產業產值提升外,更應強化資安產業自主能量,未來將針對不同領域建立示範場域案例,促進產業聚落與生態系形成,擴大技術落地與資安產業化。此外,將強化新興領域與產業資安防護,研發5G、半導體、AIoT及醫療等新興領域資安解決方案,強化產業供應鏈資安。在資安產業規模化、國際化部分,政府採購後續可研議逐步提高國產比例要求,強化業者國內動能,並結合相關新創資源,計畫性地拓展國際市場。在政府相關政策推動下,透過資安技術自主,擴大國內市場,並搭配國際拓銷,以達成產業規模化的目標,促使資安產業能進一步提升。
三、 資安人才培育
金管會於2021年11月下旬宣布,為了強化上市櫃公司資安管理機制,要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員。其中資本額100億元以上、屬臺灣50指數成分公司,應在今年底設置資安長和資安專責人員。在這樣的要求之下,意味著國內不論食品、電機、海運等傳產大廠,以及半導體、光電等電子龍頭業者,都需及早做好設置資安長及資安專責人員的準備。為發展資安產業,相關人力不可或缺,我國資安人才培育可分成三個部分,首先教育部著重在學人才的培育,協助大學精進資安人才養成,包括強化大學及高中職資安課程實務,透過資通安全研究與教學中心(TWISC)在7所大學成立TWISC資安特色子中心,培育資安碩博士人才;經濟部則將培育重點放在在職專業資安人才的養成,包括資安產業專才與關鍵基礎設施資安專才養成等,透過專業訓練機構及訓練專班,提供資安職能訓練;此外,亦在台南打造智慧沙崙服務基地,除提供資安應用示範場域及紅藍攻防模擬平台外,亦串聯臺灣資安專家提供諮詢服務,協助傳統製造業導入資安防護及解決方案,提升南部產業資安防護能量;在培育高階實戰人才部分,則以資安卓越中心進行實戰人才培訓,培訓類型包括資安菁英、Young
Talent、資安國際班及高階管理班等不同模式。透過以上推動實戰場域與人才培育,以滿足產業的資安人才需求。
四、 臺灣資安產業布局方向
(一) 紮根技術與打造解決方案
臺灣在科技產業的研發、製造和運籌能力聞名全球,半導體產業實力在全球具有關鍵地位,而新興的醫療生技、低軌衛星、5G等相關產業近年來也蓬勃發展,為因應此趨勢,臺灣資安業者可以場域試煉結合我國優勢產業,開發半導體、5G、低軌衛星等垂直應用領域之資安解決方案,以擴大資安產業市場利基。此外,智慧製造持續受到資安產業重視,資安業者可針對OT資安進行產品與服務開發,共同提升臺灣產業的資安防護能力。
(二) 推動雲端資安技術,並發展新訂閱模式:
隨著雲端安全發展,資安將與雲端相結合,臺灣資安產業以中小型企業為主,可將單點資安產品整合至雲端基礎設施上,資安業者可思考如何跟資訊服務廠商合作開發、界接,並考量整個服務流程,以提高整體資安服務能量。
(三) 推動供應鏈體系資安評級服務
透過國際資安標準與國際大廠採購需求,運用資安評級方式,協助企業掌握自身資安缺口與風險,帶動產業龍頭與供應鏈業者加入且提前導入資安產品或服務,確保可在國際供應鏈上取得客戶信賴,並能因應國際日益嚴重的資安攻擊與威脅。