一、系統整合
軟體系統整合市場係指將不同的系統及軟體應用串聯的服務,讓多個不同的次系統能夠以單一完整的體系運作,在系統整合的過程中,確保所有的次系統的功能都能在單一體系下彼此串聯相容。
系統整合資訊服務廠商協助企業進行資訊科技的評估、建置、管理、最佳化等作為,管理他們的資訊科技基礎設施,這些服務包含牽涉到專案導向的商業顧問、科技顧問、軟硬體系統設計與建置,以及期約導向的資訊委外、軟硬體維護等服務,系統整合業者利用各種套裝軟硬體、整合與顧問服務等資訊科技與服務,將資訊系統所需之要素彙整,協助企業達到各種營運策略與目的。
1. 顧問諮詢
面對數位轉型的複雜性及與組織策略的整合困難,讓數位轉型的顧問諮詢服務持續成長,全球大型的數位轉型顧問資訊業者包括:Accenture、Cognizant、PwC、Capgemini、KPMG等,顧問諮詢廠商在各產業的領域知識及顧問的方法論、科技應用經驗等,皆應具備其價值。
2. 系統設計與建置
與顧問諮詢業者的模式不同,系統設計與建置業者專精在資訊科技系統建置與導入,重點在於科技上的專精及系統整合的能力,透過結合跨領域、跨技術的合作夥伴,協助企業完成系統導入、異質系統整合,近年亦積極與顧問諮詢業者、電信業者、資訊安全、人工智慧等相關領域的業者合作,協助客戶將新興科技導入在企業運營上,主要的業者包含IBM、CSC、NTT DATA、Dell等。
(一)全球系統整合市場趨勢
系統整合市場因為企業數位轉型的發展而持續成長,近年隨著永續的議題及人工智慧的應用快速發展,仰賴系統整合業者串聯企業內部系統整合,並透過系統顧問服務,協助企業達成策略規劃,以達成營運目標。
1. 人工智慧整合至企業營運
人工智慧應用相當多元,且具有相當的投資門檻及產業特性,多數的業者在人工智慧的布局上,處於嘗試及輔助的階段,但觸及核心業務時,仍在摸索如何透過人工智慧提高營運的價值。企業在資訊系統的投資及升級上,為避免人力及各種資源的浪費,經常以階段性的投入。系統整合業者能夠協助企業依據營運的需求規劃在人工智慧導入的優先性,並透過系統整合的服務整合至既有的系統架構中,以符合企業的營運目標。
此外,企業在人工智慧的投資上經常著重在營運效率及報酬率的提升,缺乏較為長遠的系統導入策略規劃及資訊安全防護,系統整合業者透過顧問諮詢及系統導入規劃的服務,提供在資料安全的管理政策與安全防護,並確保企業人工智慧應用所使用的資料在蒐集、使用、授權以及儲存的過程中,能夠符合政策規範的流程及防護基礎,避免敏感性資料使用的爭議,並降低違反產業資安法規的風險。
隨著生成式AI獲得大量的關注,可預見未來有更多應用的潛力,不僅是降低語言的複雜度,也讓機器能夠學習上下文、推斷語意,並產生創造力。針對特殊應用亦能夠快速修正模型、處理不同的任務,生成式AI在根本上對於生產力及創造力的提升上有正向的影響。
生成式AI及大型語言模型的應用上,企業僅須透過API即可串聯,並透過資訊人員針對實際使用的需求進行調整,但若要提高生成式人工智慧的應用價值,企業需要在欲訓練的模型上有更大幅度的調整,增加客製化的程度。系統整合業者在協助企業導入生成式AI時,著重在模型的調整,確保其在採用人工智慧的過程中能夠符合實際的需求。
2. 淨零碳排透明度提升仰賴企業內外部資訊整合服務
隨著永續及環保議題受到更多的關注,愈來愈多企業增加在永續及零碳排相關的行動及投資,為符合聯合國永續發展目標(Sustainable Development Goals, SDGs),展開多項節能減碳的專案。對於企業而言,與永續計畫的投資、法規遵循、企業營運表現高度相關,企業在進行永續相關的活動時,亦期望能夠具體化永續行動的價值及對企業營運的影響,其中多方的資訊串聯及自動化流程將推動系統整合服務的市場。
企業需要仰賴數位工具增加組織內部及外部各種永續行為的透明度與資訊整合,才能進行進一步的資料蒐集及分析,逐步規劃企業在淨零永續的策略。系統整合業者在異質系統的串接及整合,提高企業在永續成效透明度及簡化對外溝通的流程,系統整合業者不僅將企業內部散落在各處獨立的資訊系統進行盤點、整合,也需要與外部供應鏈資訊系統串接,解決傳統企業面臨資訊孤島的問題,系統整合在永續發展上協助企業串聯資料,亦讓企業能逐步達成永續的目標。
3. 軟體物料採購清單提高流程自動化需求
對於企業而言,軟體物料清單的管理需要耗費相當多的資源,包含產品開發前後的版本控管、漏洞的檢測、修補及溯源需求,系統整合業者協助企業建立自動化的專案管理及檢測服務,並在企業內部PLM、ERP等進行系統整合,將軟體物料清單與產品對接,確保企業掌握曝險程度及範圍。
系統整合業者主要為協助企業所需的數位化發展路徑進行數位轉型及發展,主要的市場受到各種法規、營運需求、市場趨勢、外部環境所影響,業者透過各種資訊系統及新興科技的導入,與企業的營運發展結合,提高客戶的產業競爭力。
(二)臺灣系統整合市場趨勢
國內系統整合業者利用各種套裝軟體、硬體以及整合服務、顧問服務等資訊科技軟硬體與服務協助企業達到各種營運或策略目的,以下就臺灣在顧問諮詢、系統設計與建置市場趨勢說明。
1. 金融業
國內金融業者數位化發展已有多年的累積,近年亦積極朝向雲端發展,於2019年金管會發布「金融機構作業委託他人處理內部作業制度及程序辦法」,放寬金融業者業務上雲的規範,非銀行的重大業務可不必向主管機關申請,直接部署於境內之公有雲,加速金融業在數位轉型的步伐,有利於金融業與外部資訊業者合作。
金融業務雲端化能夠減少機房維護的成本,同時降低開發的時間及成本,未來將增加更多雲端的服務,成為國內金融業者的發展趨勢,業者在增加雲端應用的同時,亦將面對雲端系統與地端系統整合的挑戰。如何整合異質平臺的系統,涵蓋實體、虛擬、雲端環境的資料整合,以及透過日誌管理提高作業的可視化程度,讓營運團隊能夠藉由資訊系統輔助提高營運效率,簡化內部的流程與時間,系統整合需熟知產業的營運流程專業,並與業者共同合作客製化專屬的系統需求,創造更高的營運雲端化流程價值。
2. 醫療業
醫療產業的數位轉型發展有許多挑戰,由於產業內所掌握的病患資料屬於個人高敏感性的資料,在資料的使用及交換上需要相當完整的規範。臺灣政府近年積極推動醫療資訊交換標準,由國際健康資訊交換第七層協定協會發布,確保跨醫院及平臺的醫療資料能夠互通,醫療業者如何與新一代國際醫療交換標準(Fast Healthcare Interoperability Resources, FHIR),透過資訊科技提供給病患更好的醫療服務。國內系統整合業者基於FHIR,推出符合醫療機構需求的智慧醫療相關解決方案,如整合自然語言處理、生成式AI及醫療院所的專業,提供健康助理讓病患使用,同時獲取醫療相關的知識,或是整合視訊系統、通訊系統及各式感測器,協助醫師進行遠距醫療,以照護偏鄉的病患等應用。這些應用皆需要跨醫院、跨平臺的資料系統串聯,將提高醫療院所在資訊系統的投資。
3. 製造業
國內製造業者多以國際市場為主,許多業者外銷至歐美等市場,需因應國際法規調整企業策略,隨著歐盟碳關稅的課徵範圍擴大,為在國際貿易市場上取得相對優勢,業者積極投入綠色能源、節能減碳等措施,數位科技的導入成為企業在減碳、碳盤查的發展目標。
在碳盤查上,製造業面臨龐大且複雜的生產價值鏈,相關文件分散在各種異質的系統及平臺上,需要大量的人工作業整理相關文件,相關系統的整合與串接成為提升營運效率的關鍵,企業缺乏符合規範的管理機制及自動化生成,如何透過系統降低碳盤查相關的人工作業成為重要的產業趨勢。在製造業減碳生產上,掌握各產品線及機臺的能耗、碳排放,蒐集相關資料後,找出高碳排的生產製程及產品,進一步調整相關的生產模式,降低生產過程對於環境的危害。
(三)國際大廠動態
1. Accenture
埃森哲(Accenture)為全球性的大型系統整合、顧問服務業者,在全球擁有將近70萬名員工,營運範圍橫跨200個地區及50個國家,在財富世界(Fortune Global)100大企業中,有89家為其客戶,提供的服務包含永續服務、人工智慧、雲端、自動化、資訊安全等。Accenture在公司擴展策略上積極透過併購與策略投資,增加營運規模及範疇,今年著重在永續科技、元宇宙、雲端服務、數位轉型等領域。
Accenture在系統整合布局上,開始朝向高階決策者及內部員工的科技接受度上,推出Technology Quotient(TQ)的概念,意指對於破壞性的科技技術掌握及理解程度,從前線員工到決策者,透過培訓及學習資源,提高對於新興科技的掌握程度,相關的概念也應用在人工智慧及雲端相關的服務上。
觀察近年Accenture併購及投資的動態,掌握其未來的布局及發展方向,以下整理2022年至2023年Accenture在資訊安全、雲端、供應鏈及永續等著墨較深的企業發展動態。
表3-1 Accenture 2022-2023年企業動態
資料來源:資策會MIC經濟部ITIS研究團隊,2023年9月
依據Accenture於2023年所出版「2023科技視野」(Technology Vision 2023),提出2023年科技趨勢以「數位身分」(Digital Identity)、「個人資料權」(Your data, my data, our data)、通用型人工智慧(Generalizing AI)、「運算力及科學」(Our forever frontier)四大主軸為主。
● 數位身分:數位身分將成為企業科技發展的重要關鍵,並重新規劃科技發展路徑,而這些身分識別不僅是「人」的身分,也包含各種「物件」的數位身分。新興的數位身分解決方案將帶給企業更多機會以及挑戰,企業開始思考如何運用在組織內運用這些數位身分。
● 個人資料權:當企業將各種類型的資料運用在營運中,資料生態系將會變得相當的透明,因此個人的資料權在未來將會是相當重要的資源。企業開始透過各種科技技術增加資料的透明度,設計這些資料的管理策略,包含生成、管理、共享這些資料。
● 通用型人工智慧:企業開始從建構自有的人工智慧轉變成和人工智慧共同發展,未來將會產生更多的人工智慧應用的範疇及可能性,企業需要去理解人工智慧的發展以及目前基礎模型的差異,建構人工智慧應用,尤其在日常工作輔助、語言翻譯、藝術創作、廣告行銷、語音助理的應用上,預計在近年將會面臨重大的轉變。
表3-2 近年人工智慧重要發展進程及未來發展預估
資料來源:Accenture Technology Vision,資策會MIC經濟部ITIS研究團隊整理,2023年9月
● 運算力及科學:經過數十年的數位科技及科學研究,運算力將會成為企業的重要發展路徑。未來隨著量子運算的發展,在各產業皆會出現突破性的應用,包含生物分解技術、電池研發、生物科技、資訊安全等,運算力及科學將會成為企業在規劃數位發展路徑的重要影響因素。
表3-3 近年運算力重要發展進程及未來發展預估
資料來源:Accenture Technology Vision,資策會MIC經濟部ITIS研究團隊整理,2023年9月
(1) 永續價值鏈服務
Accenture提供完整的永續服務,包含完整的永續價值鏈管理,由於永續的價值鏈不僅只在企業本身,為符合顧客的永續要求,對於其供應鏈、產品設計、廠房、承包商、物流等,皆需要符合永續的要求,Accenture在永續的價值鏈服務上,提供以下幾項服務:
● 智慧供應鏈網路:依據對於營運、社會、地權的影響,挑選其供應鏈網路。
● 永續產品及平臺:建構永續的產品策略及設計,透過產品開發平臺發展永續的商業模式。
● 道德採購:提供在地化、道德且廣泛的採購來源,基於ESG的標準進行能源採購策略規劃及供應鏈風險評估。
● 透明度及可視性:透過區塊鏈技術進行資料溯源及認證,在整體的價值鏈上皆可追蹤資料,確保透明度及可視性。
● 網路策略及規劃:提供委外服務,進行溫室企業排放最佳化,並提高管理單位的可視性。
● 廠房及計畫:提供溫度控制與能源管理的低碳策略,設計循環工廠並提供安全、互聯的工作環境解決方案。
● 物流:在物流上提供電動化車隊管理、路徑規劃及溫室氣體排放最佳化。
● 科技:提供包含雲端、資料、自動化等各種技術,協助企業在永續相關的科技發展。
(2) 資訊安全服務
在資訊安全服務上,Accenture提供完整的資訊安全委外的服務,協助企業擬訂資訊安全策略,以零信任資安(Zero Trust Security)為架構建構企業資訊安全防護,確保企業的資訊安全有足夠的韌性,提供進階的自動化分析及資安情資分享,並分別成立三大網路安全的情資中心:
● 美國休士頓網路安全中心:主要專注在工控系統(Operational Technology, OT)安全、工業控制系統(Industrial Control System, ICS)、資訊系統(Information Technology, IT)安全為主的資訊安全情資中心。
● 全球網路安全中心:依據各產業提供資訊安全委外服務,分別在澳洲、巴西、捷克、印度、以色列、義大利、日本、西班牙、美國等地區設立,提供24小時不間斷的資安威脅情資服務。
● 美國華盛頓D.C.網路安全中心:整合全球各地的威脅情資及駭客攻擊模擬服務,並同時提供企業資安事件因應服務。
(3) 雲端及人工智慧服務
Accenture以雲端優先作為系統整合的服務主軸,在雲端的生態系上提高資料的價值,透過雲端及人工智慧進行營運及工作流程的創新,同時提高客戶及員工的使用體驗,Accenture的雲端及人工智慧服務包含以下四點:
● 生成式AI:透過大型語言模型(Large Language Models, LLMs)及生成式AI進行企業的創新。
● 資料搬遷:協助企業將資料上雲,降低資料管理的成本及提升資料的價值。
● 資料平臺現代化:建立可信任及可重複使用的資料平臺,更快的獲取資料的洞見。
● 可規模化人工智慧及機器學習:建構可規模化的人工智慧,運用在市場預測及決策輔助上。
Accenture與史丹佛大學的「以人為本的人工智慧」(Human Centered Artificial Intelligence, HAI)團隊合作,建立其生成式AI的能力,ChatGPT的技術應用將會改變工作及營運流程,Accenture提供生成式AI的服務,協助企業在流程創新及營運最佳化的人工智慧應用。企業流程創新透過Accenture的生成式AI驅動由上而下的企業創新轉型;營運最佳化加速企業的營運改善,改善生產力及降低成本,重新建構銷售、行銷、客戶服務、金融、人才招募、法規等方面的人工智慧解決方案。
(四)臺灣大廠動態
臺灣系統整合業者主要業務以代理國外硬體產品或軟體產品後為主,根據企業客戶的個別需求,提供系統安裝、系統維護、軟體客製、異質軟體整合乃至於發展適合本地市場、各種行業的整合性解決方案。因此,臺灣諸多資訊整合業者經常身兼國際大廠夥伴及產品服務代理商的角色,諸多國際資訊大廠在推展臺灣市場業務時,強調生態系整合,常以結盟、夥伴關係形式結合國內系統整合大廠共同開發國內市場,系統整合業者需要解決跨系統、跨架構的串接整合問題,提供給客戶完整的解決方案。國內系統整合業者發展主要動態包含:
1. ESG永續
企業ESG包含環境永續、社會責任、以及公司治理三個面向,國內系統整合業者透過代理國外的硬體及軟體產品,協助企業提高組織的韌性,並確保企業永續發展。
(1) 企業碳排放管理:提供雲端碳管理系統分析企業碳排放源,依產業特性提供專業減碳顧問服務、減碳策略規劃,並協助進行第三方查證單位驗證,產出企業溫室氣體盤查報告。
(2) 用電管理:協助企業進行產電設備的健檢、控制各設備的能耗成本、汰換老舊耗能設備,讓企業能夠精準的掌握各設備及生產環節的能耗成本,並提高廠區的用電安全,包含用電異常監控及警示、契約容量管理、需量組成分析,並提供契約容量最佳化估算。
2. 資料管理
國內系統整合業者提供企業資料管理,包含資料備援、資料防洩服務、資料加密:
(1) ChatGPT資料防洩:企業員工使用ChatGPT時,可能誤將敏感性的資料提供給ChatGPT進行人工智慧模型訓練的素材,導致企業資料外洩。國內系統整合業者利用資料安全管理軟體,透過單一管理入口限定企業的使用情境與企業內部的使用者,進行使用者權限管理,並整理資料外洩的監管紀錄,作為後續法律攻防及商業競爭的佐證。
(2) 資料加密:針對多雲的環境提供資料加密及金鑰管理,在虛擬機器及容器化的工作負載中,提供更深度的工作負載,防護在虛擬機器內各分需的加密金鑰。
(3) 資料備份:提供具備加密及弱點評估的資料備份軟體,透過人工智慧與機器學習白名單保護資料安全,適用於混合雲及地端的環境,在不同虛擬平臺上的虛擬機進行備份,抵禦勒索軟體的攻擊。
3. 雲端
國內系統整合業者支援主流的公有雲及雲端服務解決方案,搭配人工智慧提供雲端運算平臺,同時自建自有的雲端解決方案,協助企業雲端的數位轉型發展:
(1) 雲端部署:採用主流的公有雲及雲端服務業者雲端解決方案,協助企業部署雲端架構,結合應用程式開發、垂直產業領域專業及異質平臺整合經驗,協助企業部署雲端。
(2) 雲端管理:建立可視化的雲端管理平臺,掌握目前雲端服務的使用狀況、費用分析及帳務等資訊,協助企業管理與監控雲端的架構,並提供改善建議。
(3) 雲端授權管理:依據使用者不同的職務及工作指派不同的權限等級,可透過資料定義自動化指派的權限,降低因為人事變動所造成的資訊人員權限管理的負擔。
(4) 私有雲架設:採用雲端的架構建置彈性化的企業資料中心,透過軟體定義的方式簡化資訊資源和應用程式的部署,確保系統的效能及容量符合企業規換。
(5) 雲端安全:提供包含資料備份、權限管理、零信任微分割的資訊安全解決方案。
4. 資訊安全
國內系統整合業者結合國外專業的資訊安全軟體公司的產品與服務,提供進階的資訊安全解決方案:
(1) DevSecOps安全:企業為了縮短產品開發的週期與時間,開始採用DevOps的開發管理工具,而DevOps的開發工具及開源軟體也需要資安管理工具提升安全性,國內系統整合業者協助企業導入DevSecOps平臺,加入程式碼、系統基礎架構安全,提供程式弱點掃描、開源軟體安全及授權合規掃描、微服務容器安全掃描及開源元件的漏洞監控,提升企業開發速度、品質、安全性。
(2) 微分割資安架構:協助企業部署零信任的資訊安全架構,透過微分割(Micro Segmentation)的方式,確保端點裝置被入侵時,限制該裝置權限,無法橫向移動到其他端點,避免資安危害進一步擴大。
(3) 終端裝置安全:針對端點的威脅偵測、調查及因應,透過人工智慧進行資安事件的分析,縮短偵測到威脅的回應時間,同時結合事件調查的需求,避免因過多的誤判事件導致錯誤的資安決策,降低資安人員的負擔,也能夠避免端點資安的危害持續擴大。
(4) 威脅情資:透過系統整合業者與國外資安威脅情資的系統整合,能夠在新興威脅出現時,快速辨識及排除,並確保企業即時整合情資,能夠獲取更廣泛的威脅情報,增加企業防護能力。
(五)未來展望
目前國內系統整合業者多與國際資訊業者合作,提供垂直領域的產業顧問服務及系統整合客製化加值的技術與服務,隨著業者朝向雲端化發展,面臨更加複雜的系統串接、雲端/地端系統整合、公有雲及私有雲管理等問題,系統整合業者依據企業的營運目標及系統需求,提供系統客製及整合等服務。
企業的數位化程度提升,也衍生出資訊安全的議題,數位化發展增加企業遭受資安攻擊的機會,進一步提升在資訊安全系統顧問及規劃設計的需求,未來系統整合業者如何提供企業更加具備產業特性及資安法遵需求成為重要趨勢。
永續議題獲得大量的關注,企業為符合法規及消費者的期待,增加在永續相關行動的投入。系統整合業者在協助企業追求營運效率的同時,亦需考量如何協助企業在永續經營的發展,完整的永續及資訊方案規劃,增加系統設計及顧問服務的價值。
國內系統整合業者可結合國內垂直領域系統導入的成功經驗,持續深化特定應用場景的解決方案及技術能力,並與國內相關產業跨國的大型業者合作,推出產業的解決方案,以服務臺商為基礎,延伸至其當地的供應鏈及合作夥伴,結合國內資訊硬體及軟體人才等優勢,開發並深耕國際市場。
二、資訊委外
資訊委外指的是企業將資訊軟硬體的開發、維護與企業流程等業務,以一年以上的長期契約,委託資訊委外服務商代為處理,專業的外包服務(包括效益服務、軟體服務、雲端服務等)及合適的契約模式讓企業更能夠專注於營運發展,達到資訊委外廠商及委託方雙贏的關係。傳統資訊委外包含服務商提供企業資訊軟、硬體的修改、程式開發、維護等服務的資訊管理委外(IT Outsourcing, ITO),及企業功能流程軟硬體與人力服務提供的企業流程管理委外(Business Process Outsourcing, BPO),亦有資訊委外廠商提供企業程式開發代工服務及系統維護支援服務。資訊委外為企業在進行資訊投資上相對彈性的方式,企業通常以第三方契約化的方式進行,透過委外的方式,企業能夠有效降低內部資訊人員的負擔,對企業而言,將部分資訊及流程委外能夠降低企業經營的成本。
1. 資訊管理委外
傳統資訊委外包含服務商針對客戶擁有的資訊軟硬體設備提供資訊系統日常營運的管理,諸如電腦的軟體安裝、版權管理的資訊管理委外。臺灣在傳統資訊管理委外市場方面,過去主要以實體主機代管服務為大宗,由自有資料中心或租用資料中心的一類或二類電信業者,提供企業主機設備置放、連接、遠端管理維護的服務。
近年企業資訊環境逐漸走向虛擬化與雲端架構,免去前期的建置成本,具有較靈活的擴充彈性且部署快速的特性,導致傳統資訊管理委外的市場規模逐漸縮減,加上因應雲端技術的演進及單位網路頻寬的價位降低,受到許多國外大型業者分食,企業對傳統資訊委外業務的需求朝向雲端服務移轉。
臺灣目前資訊委外市場以金融業、製造業、電信業為大宗,資訊委外服務市場受到雲端服務興起的影響,不少企業採用雲端運算處理公司業務,對於未能提供雲端運算的業者而言,將抑制其發展。雲端能夠讓企業更有彈性的選擇服務,受到企業的青睞。
2. 企業流程委外
企業流程管理委外將業務處理流程、人力、電腦系統均委託給企業流程管理委外業者;臺灣最為常見的流程管理委外為客服中心委外、信用卡處理流程委外、帳單列印委外等。企業流程委外管理由於企業經營環境日趨複雜,持續聚焦本業、切割非核心業務或營業活動,成為企業保持競爭能力的一帖良方。
臺灣在企業流程委外需求方面,對於金融業務相關的委外而言,具備在地化需求的特質,如行銷中心、各類帳單等,均涉及金融法規對於資料落地的限制,較無跨國競爭的問題,流程委外廠商提供信用卡資料輸入、徵信、信用評等、紅利點數處理等服務。
對於客服中心委外而言,臺灣企業在面臨勞動力成本逐步走揚的情況下,將直接驅動委外客服中心業務的成長,但臺灣經營客服中心的成本逐漸提高,可能為境外客服中心委外服務業者分食,而不少業者將部分客服服務轉移至社群媒體上,透過聊天機器人回覆客戶問題,也有效降低人力成本的需求。
對於供應鏈流程委外而言,供應鏈流程委外則有運輸、倉儲、產品回收維修等物流活動的委外市場,在臺灣製造業回流、企業自建物流不敷成本之情況下,將逐步釋放出來,有助於增進供應鏈流程委外的市場規模。
臺灣目前流程委外以政府機構、金融業、服務業的需求為大宗,企業透過自動化技術、業務流程專業化、智慧化的工具輔助,以加速企業營運流程的效率。近年隨著社群媒體的興起,透過社群更貼近消費者,作為企業在產品開發或客戶服務上的重要工具,因此相關的委外服務市場快速成長。
(一)國際資訊委外市場趨勢
資訊委外透過外部的資訊供應商提供各種營運活動,獲取資訊委外業者專業化的服務,相較於自建資訊團隊更加節省成本及時間,讓企業能夠專注在本業的經營上。隨著科技及技術的發展,資訊委外業者能夠提供各種規模的企業愈加多元的服務,常見的資訊委外包含應用程式開發、維修及維運、資料中心營運、資料庫管理、資訊安全服務等。
根據Deloitte於2023年所做的「網路未來調查(Future of Cyber 2023)」,統計全球超過一千位大型企業決策者在企業數位化發展的規劃及觀點,這些企業分布於美洲(35%)、亞太(25%)、歐洲及中東(40%),且規模超過一千名員工及5億美元的年營收。結果顯示全球企業的數位轉型優先性包含雲端、資料分析、營運科技/工業控制系統、人工智慧/認知式運算、5G網路,相較於2021年的調查,「雲端」成為企業在數位轉型的優先選項,主要的優先性變動不大,僅「新型ERP系統或ERP系統升級」順序掉出前五名,取而代之新增加「5G網路」。
表3-4 企業數位轉型發展優先性
資料來源:Deloitte Futute of Cyber 2023,資策會MIC經濟部ITIS研究團隊整理,2023年9月
1. 人工智慧
「網路未來調查」的結果顯示,相較於2022年,人工智慧在企業的數位轉型重要性提升一個名次。根據Gartner統計,2023年全球人工智慧半導體營收,相較於2022年提升20.3%,人工智慧成為企業在資訊投資上的重要項目,在資訊系統上人工智慧能夠執行更多人類日常的工作,或是改善使用者體驗。相較於自建人工智慧相當耗費時間及人力,許多企業選擇透過資訊委外的方式,委託人工智慧專家的協助,建立企業的人工智慧能力。
人工智慧從過去互動式人工智慧與外部環境產生互動,依據輸入的資訊提供可預測的結果,如IBM的Deep Blue人工智慧,曾經在過去擊敗西洋棋的世界冠軍。發展成模擬人腦類神經網路進行運算,其人工智慧環境在有限的記憶體內自動化訓練及升級人工智慧模型,如自動駕駛的汽車則採用該模型。未來的人工智慧發展,透過機器的能力去理解、修正行為。最終發展至擁有自我意識的人工智慧,當人工智慧獲取自我的心智及情緒時,將需要人類進一步管控。
表3-5 主要企業管理ChatGPT的態度以及做法
資料來源:資策會MIC經濟部ITIS研究團隊,2023年9月
2. 雲端運算
依據「網路未來調查」的結果顯示,相較於2021年,雲端運算成為企業在數位轉型的首要目標,雲端運算具有相當的彈性及可規模化。隨著企業數位轉型的發展,企業雲端的比例提升,企業透過雲端的方式,能夠降低初期的硬體投資成本及定期的維護費用,亦透過資訊委外業者協助建置及管理企業的雲端基礎建設,或是確保雲端的資訊安全。
雲端發展已成為企業數位轉型的趨勢。國內金融監督管理委員會(金管會)於2023年3月公布,金融業針對雲端管理規範將進一步鬆綁,相較於過去制度,只要涉及重大性委外作業(包含敏感性資料、消費者資料等)或是委託境外公有雲,需要與金管會申請核准。放寬後,針對「一般委外事項」、「信用卡發卡及消費性貸款之行銷」、「應收債權催收作業」等業務得以免申請核准,金融業可以使用境內雲端服務儲存資料且不須申請,關於產業的放寬有助於雲端資訊委外市場的發展,針對金融業在敏感性資料管理及符合監管機制的雲端委外服務市場快速成長。
3. 企業資料外洩
根據2022年第四季國家資通安全研究院(National Institute of Cyber Security)所出版的「資通安全技術報告」顯示,目前政府機關通報資安事件中以「非法入侵」占最多數(54.76%),其次為「設備問題」(14.29%)及「網頁攻擊」(8.33%),為國內業者面臨主要的資安威脅。
目前國內主要的資料外洩通報事件中約有3成的事件企業無法確認事件原因,其次為「設備異常/毀損」(9.93%)、「應用程式漏洞」(8.61%)、「弱密碼/密碼遭暴力破解」(7.28%)、「網站設計不當」(6.62%)、「人為疏失」(4.64%)、「廠商維護環境或管理疏失」(3.97%)、「設定錯誤」(3.31%)、「電力供應異常」(2.65%)、「作業系統漏洞」(2.65%)、「社交工程」(1.99%)等原因,顯示企業存在定期的企業資安防護鑑別可靠度以及維護、企業內部員工資安意識培訓等資訊需求。
隨著雲端運算採用及物聯網等聯網裝置快速增加,企業面臨資料外洩、資訊安全的問題。自新冠肺炎疫情爆發以來,遠距辦公的模式讓企業在裝置安全上更難以管控,企業尋求更細緻的資訊安全防護解決方案,相較於傳統以防火牆進行內、外網隔離的方式,現今透過資訊安全委外及代理的服務,能符合更多客製化的資訊安全防護。
4. 開源程式碼安全
開源軟體(Open Source Software, OSS)在企業界逐漸獲得廣泛的採納,特別是在開發各種系統和應用程式方面。這類軟體通過開放原始碼和靈活的授權機制,讓開發者能夠自由地查看和修改代碼。這不僅降低了開發成本,也提升了專案的開發效率。然而,隨著開源軟體在企業中的應用越來越廣泛,相關的資安問題也逐漸浮現。政府和企業因此開始加強對原始碼的審查和安全性評估。由於軟體來源的透明度不足,資安風險也在急劇上升。
為了解決這一問題,美國總統拜登透過行政命令,推出了軟體物料採購清單(Software Bill of Materials, SBOM)的規範。這一規範要求詳細列出軟體的版本訊息、供應商資料、標識符號、供應鏈狀況,以及時間和日期標記等,從而提高軟體產品的透明度和可追溯性。
而軟體產品的透明度要求增加也影響資訊委外市場,企業將程式開發或是企業流程委由專業團隊,為提升企業的營運安全及法規要求,更加重視委外團隊的軟體開發管理及產品透明度,以降低企業資安風險,而針對開源軟體的專業安全檢測及安全性評估需求亦將快速增加。
(二)臺灣資訊委外市場趨勢
國內資訊委外市場因應國內企業的面臨人力短缺及營運效率提升等因素,朝向顧問化及專業化發展,委外市場依據企業需求推出訂閱制的服務,給予企業更彈性的定價方式,從業務流程設計、系統導入、到系統導入後的維運及支援服務,提供企業一站式的解決方案,讓企業能夠將部分的業務外包,降低系統為運的成本及複雜度,將資源投入在本業的經營上。
1. 雲端管制鬆綁提升金融業資訊委外市場
隨著金管會在金融業雲端化管制的鬆綁,業者開始將部分資訊流程朝向雲端及自動化發展,包含跨金融機構的支付流程、機構內部系統與外部系統串接、跨國的支付流程等,資訊委外業者不僅需要提供系統導入及維運等服務,亦需深化垂直領域的專業。針對營運上的痛點進行流程的優化,提高金融業的資訊管理及營運效率。另外,亦需提供在資訊安全上的規劃,針對資料進行加密及整合,並以集中監控的方式控管資金的流動,增強在付款流程及報表管理的能力。
2. 客服流程委外市場朝向精準化發展
企業流程委外提供流程自動化作業提升作業效率,並降低企業在客服相關人力的支出,由於生成式AI應用快速增加,在客服流程委外方面,從自動化流程開始朝向更加精準的對話模式,透過生成式AI理解客戶的情緒及意圖,讓客服的服務持續的改進,進一步降低語音及文字客服的委外人力成本。
3. 程式開發委外更加重視多樣化服務
程式開發委外主要協助企業程式的開發、測試、部署、生命週期管理等服務,生成式AI能夠有效提升程式開發的效率,加速及簡化程式開發的作業,簡易程式開發的委外需求受到影響。因此,程式開發市場將朝向更多樣及完整的服務發展,程式開發委外業者提供更完整的服務以滿足企業需求,如需求分析及產品設計、生命週期管理、軟體測試、部署、維護等。
(三)國際大廠動態
全球大型委外服務廠商主要為IBM、HPE、Fujitsu、Atos、CSC、TCS等,資訊委外廠商更加強調自動化、雲端化的產品與服務,資訊委外廠商不僅提供專業的委外服務,也投入資源在自有產品平臺發展。
1. TCS
印度孟買著名的資訊委外大廠塔塔諮詢顧問服務公司(Tata Consultancy Services, TCS)成立於1968年,為全球最大的軟體程式代工商,提供的服務包含雲端、企業數位轉型、顧問服務、資訊安全、資料分析、物聯網及數位工程、互動式行銷、永續等服務,協助企業資訊委外,不僅與雲端及軟體大廠合作,也自建具備產業特性的產品銷售。
(1) 企業營運流程數位轉型
在企業營運數位轉型上,TCS在企業的流程及運營上透過人工智慧的技術及機器與人的協同合作模式,加速企業數位轉型發展,提升企業營運效率,並改善客戶體驗,提供認知的業務運營(Cognitive Business Operations)服務。隨著智慧化及自動化的發展,改變傳統的企業營運流程,企業能夠透過自動化技術讓營運更加有效率,TCS透過以下流程加速企業數位轉型發展。
表3-6 TCS企業營運流程委外
資料來源:TCS,資策會MIC經濟部ITIS研究團隊整理,2023年9月
TCS在人工智慧的人機協作模式上,著重以下五個營運流程:
A. 財務流程:建構策略性的財務規劃流程,改善採購到支付、訂單到現金流、紀錄及回報、風險法遵、稅務管理等流程進行分析與改善。
B. 供應鏈流程:確保供應鏈的敏捷性及韌性,透過人工智慧技術在供應鏈資訊系統、訂單管理、存貨管理、外包流程、售後服務、永續,加速企業的數位轉型發展。
C. 客戶體驗流程:建立顧客的使用體驗,針對客戶資料進行分析,獲取更多客戶的樣貌與洞見,快速識別客戶未被滿足的體驗,提升客戶服務的品質。
D. 人力資源管理流程:重新定義員工體驗,建立以員工為中心的營運流程,讓薪資流程核算自動化,員工能夠減少繁縟的工作流程,專注在提供客戶更好的服務。
E. 行銷流程:規劃行銷體驗,透過客戶的資料分析,提高行銷活動的有效性。
(2) 資訊安全
TCS提供完整的資訊安全解決方案,給客戶資訊安全顧問、部署、資訊安全委外的服務,企業依照其產業特性及需求建立其企業資訊安全策略。主要資訊安全防護包含:
A. 工控環境的資訊安全
由於工業控制系統的資安事件正在快速增加,TCS提供企業一站式的資訊安全解決委外服務,包含資安風險評估、資安控制設計、工控環境的資訊安全防護,亦提供針對IT及OT的委外資安服務,能夠做到集中化資安監控,避免資安事件的產生。
B. 數位鑑識及資安事件因應服務
由於現今的企業營運經常仰賴雲端及資料,導致企業面臨各種資安威脅,尤其是針對進階式持續性攻擊,需要一定程度的資安鑑識(Digital Forensics)、資安事件危機處理的能力,以抵抗惡意的數位詐欺、資安威脅、資安罪犯。
在資安事件反應服務方面,包含緊急反應服務、快速識別攻擊的來因,並建立因應措施以避免持續擴散。TCS亦建立委外資安事件協助服務團隊,協助企業在第一時間排除相關的資安事件;在資安鑑識方面,在企業地端、雲端、容器化的系統上,提供數位鑑識的流程及調查服務,能偵測惡意軟體、可疑的資安事件、透過分析及檢視識別個別的潛在風險。
C. 資料安全服務
當全球的客戶對於其資料隱私及自主權意識逐漸提高,企業加速採用資料安全的防護技術。此外,企業面臨全球各地的個資保護法規,讓企業的資料防護更加複雜,例如美國健康保險便利和責任辦法(Health Insurance Portability and Accountability Act, HIPAA)、歐盟的一般個資保護法(General Data Protection Regulation, GDPR)、美國加州消費者隱私法(California Consumer Privacy Act, CCPA)等個資法規。
TCS提供資料安全的防護服務,協助企業識別資料的安全性及法遵要求,提供資料隱私影響評估、資料安全成熟度評估及相應的資安解決方案,並尋找隱藏在企業內部各處的敏感性資料。協助企業建立資料安全的管理政策與辦法,讓企業能夠集中化管理分散在各個雲端、資料庫及端點中的資料,並定義出重要敏感資料存取的權限,部署資料的加密、金鑰管理等資安技術,結合資料外洩防護及資料權限管理的方法,降低資料外洩的風險。
D. 零信任雲端安全服務
當企業將資料上雲後,資訊安全成為相當重要的議題,傳統以內、外網為邊界的資訊安全防護模式已經難以提供足夠的資安防護,企業開始透過自動化的工具進行威脅的偵測與辨識。
TCS提供完整的雲端轉型的資訊安全解決方案,包含雲端安全的顧問服務、雲端安全成熟度評估、進階資安防護服務,如DevSecOps、軟體即服務安全(Security as a Service, SaaS)、雲端存取邊界服務(Cloud Access Security Broker, CASB)、雲端基礎架構權限管理(Cloud Infrastructure Entitlement Managemet, CIEM)、政策即程式碼(Policy as Code)、SaaS安全狀態管理(SaaS Security Posture Management, SSPM),確保企業能夠在零信任的架構下進行雲端資訊安全的防護。
E. 企業弱點管理服務
資訊安全的威脅複雜度及數量皆不斷地攀升,企業需要檢視內部的資訊安全弱點,避免遭受到外部的攻擊。TCS提供企業弱點管理服務,針對企業的應用程式、網路、開源的程式碼、雲端應用程式等,透過自動化弱點評估系統進行資產的風險分類、補救管理、風險警示回報,進行數位資產的管理。
TCS亦提供應用程式安全的服務,自動化掃描各種應用程式,並與產業的標準比較,透過資訊安全檢測的結果,調整企業流程或進行補救,並提供滲透測試服務,對於企業的資訊系統進行攻擊,識別資安的弱點及漏洞,涵蓋暴露在風險的資產、網頁應用程式、內部資訊環境或是特定的系統。
F. 企業網路安全服務
企業隨著數位化發展、異地遠端工作的模式及增加雲端的採用,讓企業的網路安全及存取更加複雜,企業的網路疆界與傳統的資訊界線不同,有更多的外網需要至內網存取企業資料,這也導致遭受攻擊的範圍向外延伸。
TCS提供網路安全服務,協助企業提高資訊安全狀態,針對企業目前的環境狀態、網路安全架構進行評估及檢視,參考零信任的架構、安全存取服務邊界、美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的網路安全架構所公告的標準。並設計軟體定義的網路控制,包含次世代防火牆、DDoS機器人管理、微區隔(Micro-Segmentation)的管理方式,提供完整的網路安全即服務(Network Security as a Service, NSaaS)。
(3) 人工智慧
A. 精簡物流及交通
對於企業而言,供應鏈涉及的範圍相當複雜,目前主流的作法為轉換成電動車及環保材質的包材。並透過人工智慧的演算法,提高企業的營運效率;以即時的資料協助企業調整物流的路徑;透過強化學習(reinforcement learning)能夠在幾分鐘內解決大規模的動態問題。
強化學習為機器學習的一種,為嘗試錯誤的學習方法,透過動態的環境不斷重複互動,學習如何執行任務,隨著外部條件變化而改變資料,找出最佳結果的策略,而TCS在提高物流的效率上採用強化學習運用。
圖3-1 強化學習的決策流程
資料來源:Fast Approximate Solutions using Reinforcement Learning for Dynamic Capacitated Vehicle Routing with Time Windows,資策會MIC經濟部ITIS研究團隊整理,2023年9月
B. 行為驅動的服務設計重建病患體驗
透過穿戴式裝置及感應器、數位輔助App以及醫師系統,無須頻繁的檢查,也能獲取病患即時且精確的資訊,病患也能夠透過數位工具快速的反應以及紀錄疼痛及焦慮狀況,協助醫師判斷回復狀況,提高醫護人員的工作效率。
圖3-2 健康照護解決方案
資料來源:TCS,資策會MIC經濟部ITIS研究團隊整理,2023年9月
C. 低程式碼或無程式碼
透過低程式碼或無程式碼(Low-code and No-code, LCNC)的平臺,在應用程式開發上能夠提升4.6倍速度、4.6倍可負擔成本、4.8倍簡易程度,LCNC應與企業的文化及營運目標結合,透過LCDC平臺進行企業流程的定義、設計、開發,實現任務及流程自動化,加速人工智慧的採用進入障礙,提供給知識工作者開發的工具及管道,建構人工智慧模型改善企業的營運效率。
(四)臺灣大廠動態
在臺灣資訊委外市場方面,廠商的服務種類繁多,提供相關服務的廠商類型各不相同,如系統整合商、軟體服務業者、電信服務業者或客服中心等。以下介紹臺灣市場主要經營委外服務的廠商動態。
1. 資訊管理委外
臺灣資訊管理委外提供專業顧問服務、雲端平臺建置及維運、軟體建置開發及維運、資訊安全服務及管理服務,資訊管理委外業者因應雲端、永續、企業資安防護等企業發展方向,協助企業透過資訊系統的輔助達到營運的目標:
(1) 雲端平臺建置與維運服務
提供雲端建置規劃顧問服務,並針對國際雲端大廠AWS、Microsoft Azure、Google Cloud Platform的雲端託管服務,協助企業進行異地備援及雲端邊搬遷的服務。
(2) 碳排管理服務
隨著國際2050淨零碳排的目標,企業開始朝向ESG轉型發展,國內業者提供碳權管理整合服務,串聯供應鏈蒐集碳足跡,並提供企業碳盤查的顧問輔導及第三方驗證顧問服務,協助企業達到永續經營的目標。
(3) 資訊安全服務
國內業者在資訊安全上提供包含顧問端的健檢及滲透測試、弱點掃描服務,並提供資訊安全的設備導入及改善,協助企業資安漏洞的修補及策略規劃,亦同時提供企業資訊安全的教育訓練,確保企業內部員工具備足夠的資訊安全觀念。
2. 企業流程委外
(1) 客服中心流程委外
隨著企業的營運朝向全球化發展,國內的客服中心流程委外業者提供全球化的雲端客服解決方案,協助企業透過客服服務強化顧客的關係。在服務流程上,強調縮短客服流程的等待時間,以更為快速的方式回應客戶需求。臺灣客服流程業者提供服務包含:
A. 多通路整合:隨著與客戶接觸的管道日益多元,不論是透過官網的聯繫或是社群媒體等方式,多通路整合提高客服回應的處理效率,提升客戶的滿意度。
B. 人機協作:客服委外同時提供知識庫的服務,降低客服人員的負擔,利用知識庫將基礎問題分流,提供真人客服、智慧客服協作的模式,讓客服人員能夠專注在提供較有價值的客戶服務上。
C. 知識共享系統:透過即時報表,掌握客戶問題的趨勢及資料,並確保客服人員的問題回覆一致性及專業度,也能夠將資訊運用在產品開發及行銷上,提升客服的效能。
D. 智慧化客服:支援各社群媒體及電商業者,透過人工智慧自然語意分析技術,分析客戶問題上下文的關聯,解析客戶的問題及意圖,產生圖像化報表,協助企業判斷及決策,並與企業內部的ERP、CRM等系統整合,串接會員資料,同時獲取會員點數、物流狀態、訂單等資料,降低真人客服的負擔。
(2) 供應鏈流程委外
供應鏈流程委外包含進口、出口、倉儲及物流等資訊流程委外服務:
A. 出口流程委外:提供自動化流程加速出口作業,與企業內部ERP系統整合,自動產出出貨文件,並針對出口的客戶自動化分發訂艙、報關、貨況等資訊。
B. 進口流程委外:與企業的供應商串聯,掌握進口的交期及到貨數量,自動化對應稅務及進口報單,減少人工作業的失誤,並縮短前置時間。
C. 物流管理整合:整合車輛管理系統,透過GPS定位掌握及管理車輛的位置,依照客戶的要求自動化計算最佳物流路線,確保物流準時送達,並降低物流配送的成本。
(3) 金融流程委外
臺灣金融流程委外業者積極投入區塊鏈及雲端技術的發展,透過軟體即服務的方式,提供企業支付及金流管理的服務,除了金融業的客戶外,亦能提供商家及小型店家金流的管理服務。
A. 發卡授權流程:提供發卡及授權的管理,包含發卡生命週期管理、行銷規劃、交易授權、帳單催收等服務,並整合紅利管理功能、交易授權服務、參數化授權檢核邏輯,依據持卡人的風險等級進行分級授權管理。
B. 收單及簽單流程:提供網路特約商店收單業務,彙整交易請款的資料,依照商家的手續費進行清算及付款相關的會計帳務作業。
C. 點數管理:透過區塊鏈的技術協助企業建立生態圈的經營,或是企業內部的資料共享,利用區塊鏈的不可竄改性,確保交易及資料的安全。
3. 程式開發委外
程式開發委外主要的目的在於補足企業程式開發人力不足之困境,諸多臺灣資訊服務業者、系統整合廠商均提供這類型的服務。亦有專業程式開發委外廠商側重軟體產品本地化,或協助Microsoft、IBM等國際軟體產品業者進行產品本地化、產品客製化服務。
(五)未來展望
傳統資訊委外受到新興科技的影響,資訊委外廠商持續提供人力資訊委外服務,結合人工智慧及雲端服務技術與商業模式,發展新的服務或產品,並強化在資訊安全的投入及合規性,提升資訊委外的服務價值。未來委外市場將朝向雲端服務優先及更加智慧化的流程發展,發展更種人工智慧的產業應用委外服務。
近期生成式AI應用快速發展,在客服委外及程式開發委外上,進一步的提升資訊委外的可靠度以及效率,客服委外能夠更加精準的回應客戶需求,並降低企業的人力投入。而程式開發委外也因程式開發的複雜度降低,加諸低程式碼的應用快速增加,簡易的程式開發代工難以滿足企業的需求,在程式開發委外上將朝向更加多元的服務發展。
溫室氣體排放管理成為全球性的趨勢,企業因為減碳的目標,碳權管理整合服務、串聯供應鏈蒐集碳足跡、企業碳盤查的顧問輔導以及第三方驗證顧問服務需求將快速增加,資訊委外業者串聯企業內外部碳排放相關資訊,協助企業達到資料自動化生成及減碳分析的目標。
三、雲端服務
雲端運算係指雲端業者所提供之伺服器進行運算、儲存、分析及各式服務之技術,使用者只要透過網路即可使用雲端業者所提供之服務,並依照使用量按需付費。發展至今,雲端運算已是IT領域中的顯學,並環繞在人們的日常生活中,舉凡企業用的辦公軟體、套裝軟體,或是一般民眾使用的線上購物、社群網站等,皆是雲端技術的應用範疇。
雲端運算產業包含雲端運算服務、雲端支援服務、硬體設備三大模組。雲端運算服務包含以下三種:
● 基礎設施即服務(Infrastructure as a Service, IaaS):為雲端服務的最底層,主要提供基礎資源,如雲端運算、儲存、網路及各種基礎運算資源,讓使用者部署與執行作業系統及應用程式等各種軟體。
● 平臺即服務(Platform as a Service, PaaS):提供運算平臺與解決方案服務,使用者將雲端基礎設施部署與建置至用戶端,或藉此獲得使用程式語言、程式庫與服務,僅需控制上層的應用程式部署與應用代管的環境。
● 軟體即服務(Software as a Service, SaaS):為軟體交付模式,軟體僅須透過網頁瀏覽器即可獲取服務,採用軟體即服務能降低資訊硬體及軟體維護的成本。
雲端支援服務以系統整合、託管顧問等資訊服務業為主,該類業者主要協助顧客導入上述雲端服務。硬體設備則涵蓋建置雲端相關服務所需要的硬體設備,目前我國雲端服務業者多為雲端支援服務類型。
(一)國際雲端服務市場趨勢
依據Gartner所公布之資料,2023年全球終端使用者於公有雲服務的支出預計成長20.7%,達到5,918億美元,2022年由於經濟及通膨等因素影響,不少企業降低雲端的成本支出,而隨著人工智慧及物聯網等應用持續增加,也提高對於運算力的需求。
1. 生成式人工智慧驅動雲端服務需求
生成式人工智慧的應用快速成長,不論是企業端或是個人端的應用受到矚目,同步帶動雲端市場需求,人工智慧的應用有較高的IT基礎建設的運算能力需求,作為運算需求的基礎技術,企業逐漸增加雲端的系統導入,以支持人工智慧應用所需的運算力,尤其在生成式人工智慧的應用上,資料量及運算力的要求相當高。在企業實際應用上,需要即時且彈性的運算需求,如運算延遲將會造成應用上的阻撓,然而傳統的資料中心受限於資料儲存空間不足,硬體儲存設備費用有較高的限制,已不符目前網路資料處理與巨量資料儲存需求,將推動雲端服務的需求成長。
2. 永續及低碳驅動雲端轉型
在環保意識提升的永續趨勢下,綠色的數位轉型成為企業的發展方向,近年企業積極發展低碳的營運模式與產品,其中透過雲端降低碳足跡成為驅動企業上雲的重要助力。由於許多雲端服務提供商採用再生能源或低碳能源,且能夠有效提升系統的使用率,進而協助企業達成減碳的目標,依據勤業眾信(Deloitte)所發布之「氣候變遷下的數位轉型策略:透過雲端實現的12項永續計畫」,企業採用雲端能夠達到以下減碳目標:
表3-7 企業採用雲端達成之減碳目標
資料來源:Deloitte,資策會MIC經濟部ITIS研究團隊整理,2023年9月
3. 混合雲及多雲成為新常態
依據IBM於2022年9月發布《企業轉型指數:上雲現況》報告顯示,超過77%的企業已踏上採用混合雲架構以促進數位轉型的旅程。然而,這些企業在多雲環境中的協作過程卻並非一帆風順,主要面臨三大挑戰:關鍵技能的缺乏、不完善的資訊安全機制,以及嚴格的法規限制。
根據最新的調查數據,71%的企業明確表示,缺乏一個精確的混合雲策略將嚴重限制其數位轉型的最大潛能。不過,令人驚訝的是,只有27%的受訪企業具有達到「進階級」數位轉型的必要條件。這一明顯的落差主要源於三大因素:
(1) 監管合規問題:在全球監管和法規要求日益嚴格的背景下,企業普遍感到在雲環境中達到合規性極為困難。
(2) 資訊安全問題:即使企業已經採取了多種資安措施來保障其雲端工作負載,安全問題仍然是一個持續存在的擔憂。
(3) 人才短缺問題:由於專業技能和人才的短缺,企業往往無法有效地實施一個整合性的混合雲策略。這不僅加劇了資安和合規性的問題,也增加了在多雲環境中運營的風險。
總體而言,這些挑戰凸顯了企業在數位轉型過程中需要更全面和精確的混合雲策略,以充分發揮其潛在優勢。
(二)臺灣雲端服務市場趨勢
依據愛卡拉雲端(iKala Cloud)所公布之「2022產業雲端應用趨勢大調查」,詢問100位臺灣的企業包含線上遊戲、零售/電子商務、媒體與娛樂、製造業、金融服務等產業,結果顯示國內目前混合雲架構快速成長,成為企業雲端部署的主流項目,超過公有雲架構的比例。
1. 製造業
依據萬里雲(CloudMile)針對國內417家製造業決策者所做的「2022智造轉型大調查」,結果顯示國內一般科技與科技製造業者有超過5成的企業已使用雲端服務,主要的使用需求為運算與儲存、備份與備援、數據與資料分析,製造業使用雲端在廠區的機臺設備管理上,透過雲端進行資料的儲存及運算,並結合機器學習及人工智慧進行預防性維護及瑕疵檢測上,以提高營運生產效率。
2. 金融業
臺灣金管會放寬金融業上雲之規範後,減少部分業務上雲所需的申請及核准程序,讓金融業者能夠有更多自主管理的空間,加速金融的雲端數位轉型腳步,金融業者的雲端化需求不僅透過雲端提升業務效率外,也著重在敏感性資料的防護與管理及國內監管和規定等方面,國內雲端業者協助企業在資源配置規劃及系統擴展性的提升,並確保資訊系統的彈性,避免因為各種風險造成營運中斷。
3. 醫療業
2022年7月臺灣衛服部公告新版「醫療機構電子病歷製作及管理辦法」,該辦法增加醫療院所在電子病歷資訊系統的彈性,業者能夠將電子病歷上雲,作為電子病歷的交換平臺。醫療業者亦能將電子病歷系統委託雲端業者代管,在資料雲端化後,持續推升各種醫療的智慧化應用發展,如遠距醫療、結合各種穿戴裝置及診療用設備等。透過人工智慧進行資料分析,協助醫師進行診斷,將持續提升國內醫療產業雲端化的需求。
(三)國際大廠動態
全球大型雲端服務廠商主要為Amazon、Microsoft、Google三家為主,三家皆為市場占有率約有6成的公有雲市場,故一般被業界稱為「三大公有雲」,三大公有雲業者在世界各地布建資料中心,提供全球各地的使用者租用其服務。
1. AWS
Amazon最早於2006年首度推出Amazon Web Service(AWS)的雲端服務,於全球各地布建伺服器,為使用者以按需付費的方式,提供更多的使用彈性。
(1) 生成式AI
生成式AI能夠生成對話、影像、影片或音樂等內容,因ChatGPT的推出,獲取市場高度的關注,Amazon亦推出三種應用的服務:
A. AI模型平臺Bedrock
Amazon於2023年4月推出其AI模型平臺Bedrock,第三方公司透過API開發及部署生成式AI的應用,使用者能夠在平臺上使用人工智慧新創公司所開發的人工智慧產生內容(AI Generated Content, AIGC),為與文字生成模型AI21 Labs、Anthropic、圖像生成模型Stability AI所開發的應用。
B. 自有大型語言模型Titan FM
Amazon推出自有的大型語言模型(Large Language Model, LLM)Titan FM,該模型主要有兩種應用,其一為生成式的語言模型,適用於文字內容的生成;另一個則是嵌入式的應用,將文字轉化成數值形式,適用於個人化的搜尋或推薦等應用。
C. 人工智慧程式碼生成CodeWhisper
CodeWhisper可標記或篩選開源程式碼訓練資料,採用機器學習的服務,根據開發人員透過自然語言編寫的方式提供程式碼建議,提高開發人員的開發效率,透過CodeWhisper亦能針對Java、JavaScript、Python等程式碼進行漏洞掃描,提升程式開發的效率及安全性。
(2) 垂直應用
AWS積極扎根垂直領域的應用,針對醫療、製造等產業共同發展垂直領域的應用。
A. 醫療領域
AWS與全球醫療影像系統大廠EBM Technology合作,透過AWS所提供的人工智慧與機器學習技術,在機器學習平臺Amazon SageMaker完成模型的訓練,發展心電圖的人工智慧模型,當患者在救護車前往醫院的途中,即時進行病患狀態判讀,以利於後續的病患處理。此外,於2023年AWS推出醫療領域的生成式AI AWS HealthScribe服務,透過語音辨識自動生成臨床文件,透過醫生與病患診斷的對話進行摘要生成,減少文書處理的時間。
B. 製造業領域
AWS與國內網通業者合作,建立能源監控系統,用以控管廠區內各個設備的電力使用資訊,並同時進行設備異常預警,透過AWS IoT服務蒐集終端設備的資料,並建構資料庫進行資料分析與管理,協助製造業者進行能源管理及用電策略。AWS在製造業領域著重供應鏈的管理及可持續性上,與各種產業的製造商合作,降低供應鏈的風險及成本,協助業者將產業應用雲端化,並透過機器學習的應用建立智慧工廠。
2. Microsoft Azure
Microsoft Azure為Microsoft的公有雲服務平臺,自2008年開始發展,2010年正式推出,相較於AWS的腳步稍晚。2014年執行長納德拉(Satya Nadella)上任後,全力發展雲端事業,雖然Microsoft Windows產品與雲端事業兩者建立在企業內部IT架構的業務性質相異,但Microsoft以混合雲模式解決不同事業體的銜接,善用Windows伺服器的優勢帶動雲端事業的成長。
(1) 生成式AI
於2019年Microsoft即宣布向OpenAI投資10億美元,協助OpenAI持續訓練人工智慧所需的費用,隨著2023年ChatGPT應用獲得廣泛的關注後,2023年1月Microsoft擴大在OpenAI的投資,並共同規劃於Microsoft Azure上持續發展相關應用。
Microsoft與OpenAI合作,推出Azure OpenAI,將Open AI的API串接至Azure平臺上,於2023年1月正式上市。亦推出GPT-4、GPT-3.5-Turbo及內嵌模型,主要提供給企業使用,企業能夠介接Azure OpenAI的服務,生成各種對話及文案,應用在客戶回覆及廣告等場景。Microsoft Azure亦與Copilot合作,Copilot為GitHub與OpenAI合作開發的人工智慧工具,作為程式開發的輔助工具,能夠透過Azure雲端獲取服務Windows Coplit。
於2023年9月Microsoft將生成式AI應用至其Office系列辦公室軟體中,命名為「Microsoft 365 Copilot」,將這些商用套裝軟體增加人工智慧的功能,協助自動化處理日常的文書作業,並協助設計及分析,減少繁瑣的工作流程。
(2) DevOps開發環境
Microsoft於2022年開發者大會上發布Microsoft Dev Box,並於2023年9月正式推出Microsoft Dev Box服務,針對開發者提供雲端的虛擬工作環境,開發人員能夠在各種不同的工作環境中,透過Microsoft的雲端進行開發,滿足企業在敏捷開發的需求。Dev Box透過雲端虛擬工作環境,確保開發者能夠預先建置相同的開發環境,確保執行結果不會受到不同的環境影響,有利於居家辦公或是異地協同合作的工作模式。
(3) 雲端量子運算服務
Microsoft提出量子的雲端服務,使用者能夠透過雲端獲取Rigetti量子電腦的運算資源、Aspen-M-2的80個量子位元及Aspen-11 的40量子位元運算力,在Azure Quantum平臺上提供量子與古典電腦的混合工作流程,執行量子應用程式。
3. Google Cloud Platform
Google為第三大的雲端服務商,其在2006年即進入雲端市場,相較於AWS以及Microsoft更早,初期即推出Gmail、Google日曆等辦公用的SaaS服務,但在IaaS的商業模式上並沒有太多布局,直到AWS崛起後,才在2011年推出自家雲端服務Google Cloud Platform(GCP)。
(1) 生成式AI
Google近期增加在生成式AI的布局及投入,在2023年RSA大會上,Google宣布將生成式AI整合至Google目前提供各種產品與服務的多種大型語言模型平臺中,其中包含以下:
A. 資安專用大型語言模型
Google於2022年4月推出PaLM(Pathways Language Model)大型語言模型,為針對資安領域的模型,其資料來源主要包含漏洞資訊、Github上的漏洞資料、Mitre框架,及來自威脅情報公司Mandiant的全球威脅情報等,並推出其人工智慧資安平臺「Security AI Workbench」,提供企業透過生成式AI協助分析惡意行為的腳本,更加精確的檢測威脅。
B. 全託管機器學習平臺
Google於2021年推出全託管機器學習平臺Vertex AI,讓使用者可以統一操作介面並透過API獲取Google雲端服務,降低建立及訓練機器學習模型的工作負擔。目前Vertex AI亦支援生成式AI的模型建構及客製化,提供超過60個以上的基礎模型。
C. 生成式AI應用程式建構工具
Google推出協助開發人員快速開發應用程式的生成式AI工具App Builder,在該工具上透過Google的API獲取基礎模型、搜尋、對話AI、語音助理等,快速建立生成式的應用程式,該工具能夠更加直觀地與各種複雜的資料互動,加速產品開發的時程,結合對話提高非程式人員的參與程度,創造新型態的產品開發模式及體驗。
(2) Web 3.0及去中心化
於2023年Consensus 2023上,Google雲端與區塊鏈Polygon Labs共同宣布策略合作計畫,在Google Cloud上基於Polygon發展Web 3.0及去中心化應用程式(dApps),讓開發人員能夠快速地部署Polygon PoS節點,布局未來Web 3.0的生態系,並透過Google的雲端服務及開發工具,建置其應用程式。
(四)臺灣大廠動態
近年國際雲端大廠皆陸續加強在臺灣的布局,並尋求在地的合作夥伴,依照合作方式不同,雲端大廠在臺灣的合作對象可以分為「託管服務」、「方案經銷」、「網路合作」、「產品認證」四種合作模式。臺灣業者與國際雲端大廠的合作模式不以單一種類為限,可採複數合作形式,例如廠商可同時是解決方案提供商,但又自行開發產品成為認證合作夥伴。
1. 託管服務
託管服務最常見認證便是MSP(Managed Service Provider),三大公有雲廠商皆推出自家的MSP認證。託管服務主要協助客戶解決雲端採用過程的業務需求,例如上雲前的評估、方案選擇評估、雲端搬遷、系統整合、託管服務,服務涵蓋上雲前、中、後各階段的方案經銷。目前託管服務為我國最常見的合作模式。
2. 方案經銷
方案經銷類似零售業中的盤商角色,主要負責產品的銷售,認證代表有Microsoft的LSP(License Solution Provider)、AWS的CSP(Cloud Solution Provider)等。比起託管服務,方案經銷業者通常擁有較多的行銷資源與議價權力,但也有銷售業績的壓力,因此方案經銷認證的認證門檻通常比託管服務更高,例如該服務的客戶數量、收益、流量等,需具一定規模的廠商較容易獲得此認證。
3. 網路合作
網路合作主要提供網路交換中心、企業專網等網路相關服務,認證代表有AWS Direct Connect Partner、Google Interconnect Partner等。雲端大廠在拓展國際市場過程中,經常需面臨國際網路與地區網路對接的障礙,若未與在地網路商合作,將會導致網路傳輸效率降低,進而影響雲端服務的品質與安全,故雲端廠商多會尋找在地網路業者合作,提升其服務在當地的穩定性。
4. 產品認證
產品認證是一種互利的合作模式,為了快速擴大生態系,各家雲端大廠多有提供市集或是解決方案認證,例如AWS的雲端市集認證、Microsoft的IoT方案認證等,藉此吸引其他業者在其雲服務上開發產品。對雲端大廠而言,此種合作模式能夠增加用戶數量,亦能強化生態系的完備性;對合作小廠而言,獲得大廠的認證亦有助於將產品銷售至國際市場中。
國內雲端服務業者與國際雲端大廠合作逐漸加深,並結合ESG、雲端資安、生成式AI等議題,加速企業的雲端布局及發展。業者針對垂直領域的需求,推出數位解決方案,並提供顧問諮詢、數位搬遷及託管等技術服務,依靠業者自身其他產品及垂直領域專業等能力,做出服務的差異性,提供企業更高的附加價值,近年也因國內醫療及金融領域的數位投資增加而快速成長。而國內的雲端業者因生成式AI的浪潮,推出自有的大型語言模型及雲端運算服務,並結合國內的新創業者及法人單位,推出在醫療照護相關市場的應用,如智慧客服、聊天陪伴機器人、新藥開發等應用,協助生醫產業進行資料分析及模型訓練,加速研發進度。
近年可以觀察到,臺灣獲得三大公有雲夥伴認證的資服業者數量有逐漸增加之勢,這當中包含電信業者、中大型資服業者、小型新創業者,且合作方式相當多元,例如,部分業者間會結合彼此優勢拓展海外市場,或是透過策略投資方式採取以大帶小的形式,讓雙方互利。此外,三大公有雲亦開始在臺灣投入更多的投資計畫,不論是產官學合作、創新投資,甚至是建置資料中心,可看出臺灣在亞太地區的雲端實力逐漸攀升,戰略地位也比過去更受重視。
(五)未來展望
AWS、Microsoft、Google三大公有雲市場的寡占態勢難以被撼動,三大雲端業者在新興技術布局及應用上透過生態系的整合與串聯,建立出穩固的基礎。近年隨著生成式AI的應用快速發展,業者亦快速回應市場需求,推出其相應的平臺及解決方案,作為各種應用開發的平臺,快速布局搶占市場。未來在人工智慧的應用開發上,業者可善用各家雲端業者在人工智慧的基礎模型上,開發出符合市場需求的應用。雲端服務具有初期投資的低成本及相當的擴充彈性優勢,在企業數位轉型成為主流的發展方向,尤其企業在積極發展人工智慧應用,需要靈活和可獲展的運算資源,雲端能夠提供較高的算力及擴充性,將持續推動雲端服務的市場成長。
臺灣傳統資服業者的收益來源多為非雲端類的專案居多,然而觀察雲端大廠在臺灣的布局,除了Microsoft外,主要合作的對象為新興的資服業者,許多新創業者為雲端原生業務發展,雲端的技術及業務性質與傳統的方式有所不同,預期未來雲端的滲透率持續提升後,將為臺灣資服業帶來新的版圖變動。
臺灣資服業以代理國外產品居多,而在大廠產品的差異度逐漸縮小的情況下,業者之間的競爭決勝點已不在合作的廠商,而是針對產業領域的深入應用及服務,如針對特定產業的人工智慧、物聯網及資訊安全應用等,尤其是推出具有產業特色的整體解決方案及實績,獲得業者的青睞。
臺灣系統整合商可參考國際大廠之混合雲軟硬體整合與開發放式架構布局策略,利用開源軟體自行研發開放式混合雲架構,將軟體搭載至臺灣具有優勢之硬體設備上,形成價格競爭力強的整合型產品,解決客戶在導入混合雲面臨的軟硬體不相容問題,並整合資訊安全的解決方案,降低業者在系統導入的風險,以軟硬整合產品一次購足滿足客戶的需求。未來發展機會上,可透過以硬帶軟的合作策略,與臺灣硬體設備廠商合作,推廣整合型產品,拓展國際市場尋求機會。
四、資訊安全
資訊安全產業範疇涵蓋資訊安全產業上游之「資訊安全產品」、「資訊安全服務」,以及中、下游之「資訊安全支援服務」。資訊安全產品及服務人員專注在資訊安全產品的研發與製造上,而資訊安全支援服務則著重於終端客戶之行銷及推廣,且具備垂直產業之專業。
● 資訊安全產品:係指提供企業或個人的終端產品,通常提供買斷、租賃等方式,或是搭配專業服務及顧問諮詢提供給客戶,如防火牆、網路安全、物聯網、雲端安全等,針對不同應用場景所開發之軟體、硬體產品及服務。近年來隨著人工智慧及雲端運算的發展,資訊安全產品逐漸走向智慧化,如端點安全防護、網路入侵檢測、分段式阻斷服務防護、進階持續性威脅等資訊安全產品,業者透過機器學習針對異常行為偵測,取代傳統的規則及特徵碼為基準資安產品,有效降低資安事件的誤判比率,成為資安產業的發展重點。
● 資訊安全服務:係指資訊安全業者提供維持企業日常營運安全之營運管理安全防護及資安專業顧問服務,如資安顧問服務、社交工程服務、資安檢測服務、雲端安全存取中介服務、資安情資服務等。
● 資訊安全支援服務:係指直接面對終端客戶,協助企業提升資訊安全的相關服務型為,包含國內外資訊安全產品代理、銷售及通路服務、系統整合服務、資訊安全教育與培訓等。
(一)國際資訊安全市場趨勢
近年來國際之資訊安全事件頻傳,隨著數位經濟的發展,數位的犯罪隨之增加,根據麥肯錫顧問公司(McKinsey & Company)的資訊安全調查全球4千家中型企業中,資安的威脅數量從2021年至2022年翻倍成長,全球資訊安全市場快速成長,存在許多資訊安全還未被滿足,估計資訊安全解決方案的市場滲透率如下:
表3-8 資訊安全解決方案及市場滲透率
資料來源:麥肯錫顧問,資策會MIC經濟部ITIS研究團隊整理,2023年9月
1. 人工智慧提升資安風險
ChatGPT於2023年推出後,生成式AI快速發展,人工智慧應用提供許多便利性,卻也衍生出資安的風險及危害,使用者透過問答的方式與ChatGPT互動,在聊天的過程中,經常無意間透露個人或是組織的重要資訊,並將敏感性資訊上傳。企業在擁抱人工智慧提升營運效率的同時,忽略潛在的資料外洩風險及危害,有部分企業透過禁止及資安教育的方式避免相關的資料外洩風險。
除了資料外洩的風險外,生成式AI也可能成為駭客攻擊的輔助工具,如提供惡意程式代工,讓駭客的攻擊成本降低,提高攻擊的頻率,或透過人工智慧撰寫電子郵件內容,協助駭客進行社交工程的攻擊,被攻擊者通常難以察覺。
2. 工控資安需求增加
依據資訊安全大廠Fortinet所發布之「2023年OT與網路資安現況調查報告」(2023 State of Operational Technology and Cybersecurity Report)顯示,2023年初所發生之網路攻擊,調查全球570位OT專業人員,高達98%的企業已將OT網路安全納入更廣泛的風險評估中,且有67%的受訪者更是列入風險評估重要因素,相較於2022年有50%顯著增加,顯示工控領域的資安成為企業的必備資訊安全防護項目之一。其中約有5成的受訪者已部署「網路存取控制」、「安全營運中心」、「安全事件管理和監控/事件分析」、「物理安全遠端管理」、「安全遠端控制」等與企業營運直接相關之資訊安全解決方案,而「威脅情報」部署的企業比例相對較少,僅占24%。
3. 雲端數位轉型發展
隨著企業逐漸開始採用雲端,對於雲端上資料的安全風險受到重視,在多雲的環境中如何確保資料有足夠的資安防護,根據資安大廠Check Point Software的2023年雲端調查(2023 Cloud Security Report)顯示,調查超過1千名資訊安全專家,結果顯示約有76%的企業對於雲端資安的風險存在疑慮,目前主要的雲端威脅來自敏感性資料外洩、API安全以及未授權的存取行為。
而在多雲的環境下,企業難以掌控各種不同的雲端平臺,58%的企業面臨在混合雲的環境下部署資安解決方案的挑戰,52%無法確保資料的安全的挑戰,企業期望能夠透整合雲端資安業者的解決方案,簡化其在雲端安全的管理。
另外,隨著開發維運(DevOps)的系統導入,DevSecOps的需求亦受到企業重視,根據調查僅有37%的業者採用DevSecOps的解決方案、22%正在規劃導入,市場仍存在相當大的成長空間,業者期待自動化的資安檢測及主動式的資安防護,確保企業在程式開發及部署的安全。
4. 軟體物料清單
美國將軟體供應鏈安全列入重點發展項目中,2021年5月美國總統拜登發布行政命令EO 14028,軟體供應鏈安全成為重要的資安防護項目,美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)發布軟體物料清單(Software Bill of Material, BOM),追溯軟體的開發履歷,有效地引起企業對於採用未知開源軟體的重視。
近年來軟體供應鏈安全事件頻傳,如2020年的SolarWinds攻擊及2021年的log4j漏洞等事件,開源軟體的採用已經成為企業常態。但開發者對於來源的低可視性成為駭客的攻擊目標,為避免企業因採用開源軟體而缺乏足夠的安全評估,確保軟體供應鏈的安全,提高安全性及合規性的資安解決方案需求將持續增加,協助軟體開發團隊在開發過程中的檢測及安全需求,提升軟體可追溯性及可視性,降低軟體開發到上市的風險。
(二)臺灣資訊安全市場趨勢
根據iThome所出版的「2023年資安大調查」中,發生超過50次重大資安事件的企業中,以服務業及醫療業最多,而製造業、金融業、政府機構等皆有超過2成的比例,產業業者面臨嚴重的資安危害風險。傳統企業資訊安全職責經常由企業內部的資訊人員兼任,並搭配外部資訊安全軟體及服務,然而隨著資訊安全的事件頻繁發生,資安威脅的樣貌逐漸趨於多樣化及複雜化,讓企業認知到資訊安全之專業化的需求,需要專業的資訊安全人才建立企業資訊安全防護,國內政府機構期望從規模較大的企業開始示範,建立專責之資訊安全團隊。於2022年12月金管會所發布之「公開發行公司建立內部控制制度處理準則」新版,訂定公開發行之企業在資訊安全之行動準則,將有助於提升國內企業資訊安全投入。
表3-9 公開發行公司建立內部控制制度處理準則
資料來源:臺灣金融監督管理委員會,資策會MIC經濟部ITIS研究團隊整理,2023年9月
1. 金融業資訊安全
金融機構積極發展數位轉型,多數金融業者建立網路銀行等App、數位KYC(Know Your Customer)、Open API等數位金融應用,不僅內部的資安防護,也擴及與外部第三方資訊服業業者的合作,增加數位資安的風險。2023年2月金融業首度召開金融機構資安長聯繫會議,共有79家銀行業、證券業、保險業等金融相關產業進行產業資安議題交流,著重的議題包含以下三項重點:
(1) 敏感資料防護:強化客戶個人的敏感資料防護,如個資、存款、交易、保單等資料防洩。
(2) 科技應用風險:金融業近年積極採用雲端、人工智慧等技術以提升營運效率,而針對新興科技的採用,需要配備足夠的資安管理及防護機制,並進行風險管控。
(3) 資安韌性:針對跨金融機構間的資安威脅情資共享,共同防護外部的資安威脅。
資安防護議題逐漸獲得金融產業的重視,將提升國內資安威脅情資、企業內部個資意識教育訓練服務及第三方供應鏈資訊安全管理等資安領域的需求。
2. 製造業資訊安全
近年國內電子製造及半導體製造產業受到全球矚目,也成為駭客的攻擊目標,受到勒索病毒感染的案件層出不窮,其中不乏全球知名的製造業龍頭業者。根據趨勢科技(TrendMicro)於「2022 年度網路資安報告(2022 Annual Cybersecurity Report)」中統計,趨勢科技全球威脅情報網中(Smart Protection Network),製造業為資安威脅數量第二多的產業(略低於政府機關),約為27.6萬次。
隨著製造生產機具的聯網,讓製造現場成為駭客攻擊目標,企業為追求生產效率,經常忽略機臺的資安防護韌體更新,導致製造業在資安防護上,面臨機臺的基礎防護不足及更新迭代不易的問題。針對工控領域的資訊安全防護需求與企業內部資訊安全防護有根本上的差異,製造業者對於工控領域的資安防護仍有不少的改善空間,需要提升企業內部資安團隊對於工控環境的熟悉程度,並提升製造現場操作人員的資安意識。
3. 商業服務業資訊安全
疫情期間的移動管制及低接觸措施,加速國內商業及服務業的數位轉型發展,許多實體店面業者增加網路電商,並開發出多個應用程式提供客戶服務,增加資訊安全的風險。由於零售及量販等業者,經常掌握大量的會員個人資料及交易資訊,若資料防護管理不當,將可能造成民眾的生命財產損失。臺灣經濟部也預告即將推出「綜合商品零售業個人資料檔案安全維護管理辦法」,要求資本額新臺幣1千萬元以上的零售業者,須建立會員個資的安全維護計畫,並透過專人進行維護,針對大量會員資料的個資安全管理成為零售業在資安防護的重點項目。
4. 政府機構資安防護
於2022年行政院國家資通安全會報中,提及零信任資安將會依照「身分識別」、「設備識別」、「信任推斷」三大核心機制,導入國內的A級公務機關中。
(1) 身分識別:以生物辨識進行無密碼的雙因子識別技術。
(2) 設備識別:基於信任平臺模組之設備識別,並進行設備的狀態管理。
(3) 信任推斷:綜合設備的狀態、資安威脅情資及使用者的環境等資訊,動態調整存取的權限。
政府機構的推動作為企業資訊安全防護的示範,成為企業在規劃資訊安全策略的參考依據,除了政府機構的資安需求外,也有助於帶動國內民間企業在資安防護的投入,提高信任授權的管理精細度及彈性,將有助於身分識別管理、端點安全、授權管理等資訊安全產品及服務提升。
(三)國際大廠動態
全球資訊安全廠商包含以防毒軟體產品聞名的Gen Digital(Symantec及Norton前身)、McAfee、趨勢科技(Trend Micro)、Kaspersky;企業資安防護業者Cisco、IBM Security;雲端資安的Check Point Software Technologies。
1. 精準的CDN資訊安全防護
內容傳遞網路(Content Delivery Network)為使用者端及伺服器的中繼站,在巨大流量的服務中,業者能夠透過CDN網路排除惡意流量,確保伺服器的資源及頻寬,目前資訊安全業者所推出的CDN防護提供第三層(網路層)、第四層(傳輸層)的網路攻擊外,亦提供第七層(應用程式層)的防護。
由於攻擊流量及正常流量難以區分,尤其在第七層的攻擊中,機器人的請求難以判斷是否為虛假流量,資訊安全業者透過針對來源流量的分析並更新網頁應用程式防火牆(Web Application Firewall, WAF)的規則,能夠更加精準地排除掉非法的流量來源,提供Tb等級的DDoS流量清洗服務,避免企業營運中斷。
2. 容器開發及雲端搬遷資安
隨著企業將更多的應用程式及工作附載搬遷至雲端環境中,亦快速提升雲端安全的需求,且容器的需求快速增加,針對容器環境的資安防護也成為業者發展的重點,國際資訊安全業者推出針對雲端的資訊安全防護解決方案,結合雲端搬遷及威脅偵測等資安解決方案,確保企業在雲端環境的安全性。
(1) 雲端搬遷安全:協助企業的應用程式、資料庫及各種服務從傳統本機端搬遷至雲端中,包含搬遷前的策略擬定、搬遷後的安全監控及檢測服務,確保企業在上雲過程的資料安全防護。
(2) 法規遵循:提供跨產業、跨國家的雲端法規遵循服務,協助企業在各種公有雲及私有雲的環境中達成特定法規的資安防護要求。
(3) 雲端威脅情資偵測:分析log紀錄、封包等資訊,透過機器學習提供雲端安全鑑識服務,確保企業能夠即時獲得威脅情資。
(4) 開發安全:針對開發過程的資訊安全,防護程式碼等企業安全架構,提供包含程式碼外洩威脅偵測、程式碼檢測、資料防洩等資安解決方案。
3. 零信任資安
混合式的辦公模式及混合雲端架構模式成為主流,企業難以再透過內、外網隔離的方式進行資安防護,加諸APT的攻擊模式讓企業更難以防禦,為確保在混合雲的環境中提供足夠的資安防護,零信任的資安策略成為企業發展的重要主軸。
零信任架構在任何存取之前,皆需要有安全評估,才能提供信任及授權,因此針對各個異地端點的資訊安全防護受到企業的重視,國際資安業者在端點資安防護上,透過自建產品或是合作的方式,朝向整合性資安解決方案發展,提供用戶端、伺服器端、電子郵件、雲端的整合式產品,讓每個端點都獲得足夠的資訊安全防護,企業的資安團隊亦能透過單一介面進行資安風險的管理,確保各端點不會成為資安的漏洞。
(1) 網頁安全及持續監控:針對網路流量進行過濾及風險識別,確保來自網頁的資安威脅能夠快速地偵測及回應。
(2) 端點偵測及回應:透過資料的分析協助資訊安全團隊快速偵測網路攻擊,避免進一步在端點內擴散。
(3) 防火牆:透過機器學習等技術即時監控網路威脅。
(4) 身分識別與存取管理:提供跨網域的威脅偵測,進行log等資料的分析,避免外部的威脅。
(5) 電子郵件安全:提供來自電子郵件的威脅防護。
零信任架構隨著工作習慣、科技及技術發展、資安威脅的變化而持續調整,仰賴多個專案及分階段的導入,並與企業的營運模式整合,為企業資安提供更加完整的資安防護。
(四)臺灣大廠動態
隨著國內企業及民眾在資安意識的提升,臺灣的資訊安全業者快速的發展,國內資訊安全業者以提供資訊安全顧問、資安服務、代理國外資訊安全產品為主,並結合垂直領域的專業及資安顧問服務,協助國內業者建置資訊安全防護。
1. 車聯網資安
隨著電動車快速的發展,車內聯網的安全亦受到資安業者重視,國內資安業者與國內外的車聯網組織及協會合作,並結合車輛安全的法人團隊,發展車聯網的資訊安全服務。國內的資安業者趨勢科技將其內部的車聯網資安業務獨立成為新公司Vic One,布局未來的車用資安市場,推出包含車用資安監控中心、車內資安、韌體更新、供應鏈安全、漏洞檢測服務。
(1) 遠端更新:業者依照國際標準ISO 24089及ECE R156規範建置,針對車載設備或是車輛運算裝置的遠端更新服務。
(2) 漏洞檢測服務:除了韌體更新外,國內資安業者亦推出針對車聯網的漏洞檢測服務,針對車載系統的弱點掃描、通訊網路測試及開源軟體風險管理等,確保汽車內的聯網裝置的漏洞及風險排除,在釀成安全危害前盡速排除。
(3) 車內資安:國內業者也開發出針對車內裝置的嵌入式防護軟體,透過軟體的設計提供車內網路的安全防護。
2. 資安人才培育服務
臺灣資訊安全人才需求相當高,隨著「上市櫃公司資通安全管理措施」的推出,讓各產業對於資安人才的需求快速上升,唯資安人才養成困難。為因應資安人力缺乏的問題,國內資安業者推出資訊安全人才的培訓服務,培訓具有實戰經驗的產業資安人才,同時供企業職務的培訓需求。
(1) 一般員工資安意識提升:面對日益提升的資安風險,企業資安防護需要內部員工整體資安意識的提升,國內資安業者提供企業資訊教育訓練委外、企業員工資安意識教育,並建立員工在資安危害事件處理及通報流程等,提高企業整體資安意識。
(2) 專業資安人員培訓:提供專案專才在垂直領域的資安專業培訓,如透過滲透測試、紅軍及藍軍模擬資安攻防演練等,找出企業目前所欠缺的資安能力,進一步提升企業的資安防護專業能力。
(3) 大學建立產學合作課程:除了產業培訓外,國內資安業者亦與大學共同合作開立資安學程,提供資訊安全實務及應用的課程,學生能夠實際進行社交工程演練、網站弱點掃描等,讓學界及產業界的需求接軌。
3. 零信任資安架構
國內資安業者結合國外資安大廠的產品與服務,提供雲端零信任資訊安全服務,亦結合業者在垂直領域的專業經驗,協助企業快速建立零信任資安的機制,搭配數位發展部所推動的「零信任架構」計畫,提供給政府公部門、金融、電信、醫療等產業資安的解決方案,建立資安防護機制。
國內資安業者透過一站式的資安服務,針對ISO/IEC 27001的資安技術及資訊系統原則,將零信任資訊安全系統導入服務,確保企業資安系統能夠有效的運用,包含:
(1) 現況診斷:評估企業目前資訊資產及現況。
(2) 風險評估及管理:針對盤點的資產進行風險評鑑。
(3) 建立資訊安全系統:依據前階段的風險評估及差異分系,進行資訊安全系統導入。
(4) 制度落實與實施:系統導入後建立與系統結合的管理制度及相關文件。
(5) 稽核及驗證:進行實機驗證及稽核,確保系統上線。
國內資安業者提供完整的資安導入服務,確保企業符合資安法規要求,以能夠具備足夠的資安防護能力,並搭配垂直領域的經驗結合,與客戶發展成資安夥伴關係。
(五)未來展望
企業數位化發展需求直接影響資訊安全的市場,企業透過人工智慧、雲端、物聯網等工具提升企業的營運效率的同時,資訊安全風險亦隨之增加,企業需要更加完整及全面的資安防護,提高營運韌性。此外,民眾對於個人資料防護重視程度持續提升,促使企業在資料防護的資安投入,避免因為資料外洩事件而影響企業營運甚至造成客戶生命財產損失或信任程度降低。
在資安產品發展上,隨著機器學習及人工智慧的快速發展,相較於過去規則型(Rule-Based)的資訊安全產品,未來透過人工智慧能夠更加主動以及有效的防護未知的潛在資安威脅,主要應用包含:身分識別、威脅偵測、自動回應及修復、行為分析,資訊安全的技術朝向智慧化及自動化發展,提升企業資訊系統的防護及韌性。
未來資安人才缺乏已成為產業可預見的事實,專業的資訊安全人才培訓不易,企業面臨日益嚴重的資安威脅,加諸政府法規遵循的需求,需要足夠的資安人力才能符合企業當前的需求。企業面臨的駭客攻擊相當多元,亦受到APT攻擊以及社交工程等,新興的資安攻擊不斷出現,業者期望專業的資安人才確保企業的營運安全,需要產業界及學界投入更多的資源在資安領域上,協助國內資安產業健全的發展。
