【iThome 2025企業資安大調查｜資安投資概況】持續布局資安保護與資安偵測，技術領域加碼DevSecOps、FIDO

關於2025年企業資安投資策略與重點，在金年的調查中，我們特別以美國NIST CSF 2.0資安框架的六大核心構面，從治理、識別、保護、偵測、應變、復原的角度，讓資安長自評2025年在六大領域的投資配重。

從調查結果可以看到，「保護」的占比達24％為最高，符合我們的預期。

「偵測」、「應變」在今年加總達到30％，這可能與近年各種偵測與應變解決方案普及有關，未來我們則看好「識別」領域的成長，目前雖僅有15％，但隨著近年攻擊面管理、安全態勢管理解決方案已然興起，企業後續可能加重這方面的布局。

至於「復原」領域，由於這些年勒索軟體攻擊猖獗，我們認為企業多已加重這方面投資，不過從今年調查結果來看，一般製造業、醫療業仍視為今年需要重點強化的方向，相較其他產業更憂心自身在復原能力上的不足。

進一步觀察今年資安投資項目的排名，2025年前兩名分別是「滲透測試與弱點掃描」以及「端點偵測與應變（EDR）」，比例均超過6成6，已成企業普遍投資的重點。第三名到第五名為「遠端存取防護」、「資安與事件管理」、「應用程式防護」，比例也都超過5成。

還有4項特定資安技術投資值得我們留意，從今年調查數據來看，DevSecOps、FIDO/Passkeys的採用在這一年內有顯著提升，布局SBOM、PQC的比例仍然偏低。

以DevSecOps（開發安全維運一體化）而言，早年國內企業導入一直較少，2024年採用比例為1成3，2025年提升至2成1，等於每5家企業就有1家導入DevSecOps，成長顯著。若從產業別來看，最積極是金融業、服務業，且今年採用的企業更多，一般製造業雖採用率仍低，但因去年採用率僅1％，今年提升至9％，成長幅度驚人。

以FIDO/Passkeys技術而言，2024年企業平均採用率不到1成，今年提升至1成5。

從產業別來看，金融業與政府學校最積極採用，這也符合我們先前的觀察，2020年已報導少數金融與政府單位率先導入FIDO，起步較早，時至今日，金融業從33％增至今年49％，政府學校從14％增至24％。此外，高科技製造業從2％增至7％，服務業與醫療業從4％增至近10％，突顯這些產業邁入應用起步階段，未來有望攀升。

至於SBOM（軟體物料清單）的導入比例，從4.6％提升至6.3％；PQC（後量子密碼學）則從0.3％增加至0.8％。雖然整體而言企業仍未特別重視這兩種技術的採用，但已有些微的成長趨勢，後續投入狀況仍值得持續留意。

 調查說明  調查執行從2024年12月30日到2025年2月3日為止，針對臺灣大型企業，歷屆CIO大調查企業，政府機關和大學的IT與資安主管，進行線上問卷。有效問卷數395家，其中有72%是CIO與IT主管，62％是CISO與資安主管。