扶植資安新創「資安鑄造公司」，資策會攜科專計畫成果進行商轉

政府積極推動「資安即國安」，也希望扶植更多的資安新創公司，以活絡臺灣的資安產業。例如，資策會日前將原先資安科技研究所（以下簡稱為資安所）執行的科專計畫，交由扶植的資安新創「資安鑄造公司」負責商轉，由原先資策會資安所所長毛敬豪，轉任資安鑄造公司執行長一職，該公司資本額4,200萬元，員工入股1,700萬元，目前有二十多位資安所前員工，共同投入資安鑄造公司的創業路，技術人員占其中的六成。

毛敬豪表示，包括東元集團的東亨創投及矽谷創投，都有意投資資安鑄造公司，目前Pre A輪的資金挹注，預計在2022年農曆春節的前後有結果。

他指出，資安鑄造公司最重要的工作，就是打造與國內資安業者協同合作的資安監控平臺，鎖定醫療、電子商務及高科技製造業供應鏈業者，提供相關資安健檢、資安事件通報處理，以及合規報告等服務。

毛敬豪坦言，以往在法人單位，依賴各種專案和補助所研發的產品，重點比較分散，但獨立成資安新創公司後，面臨嚴峻的市場考驗，每個員工的人／月費用，所帶來的價值也不一樣，現在雖然東元及矽谷創投有意投資，Pre A輪募資會在農曆年前有答案，接下來，也必須看未來五年、十年的長期規畫和估值，除了最基本的需求：能否養活公司本身，還必須做到讓業界願意埋單。

資策會資安所帶著科專項目，獨立成為資安新創公司

行政院資安處處長簡宏偉表示，為了提升臺灣資安產業的活力，就必須要扶植更多資安新創公司，而將資安鑄造公司從資安所移出來，也是希望可以讓臺灣資安產業更多元。

經濟部技術處處長邱求慧則指出，在2017年政府有個主動式防禦技術發展的科專計畫，四年共投入2.5億元；後來，發現5G晶片也有資安問題，於是在2020年投資5G晶片的研發；另外，在2020年投資了智慧製造工業控制系統的資安研發，他說：「過去四年以來，政府總共投資7.5億元在相關的資安科專領域上。」邱求慧表示，技術處支持新創，也有很多法人單位協助產業，做各種技術轉移或製程改良，而資安的確是新興產業的投入機會，他期待，資安鑄造公司未來有機會成為臺灣資安新創的獨角獸。

資策會執行長卓政宏指出，資安產業需要更多能量投入，資策會資安所先前就有很多研究成果，在成立資安鑄造公司後，能帶著之前科專成果到產業服務。他也說，資策會過去拆分出去的公司並不多，如今，資安鑄造公司的拆分方式，也成為未來資策會有技術團隊要成立獨立公司的參考，相關的程序作法會更精進。

資策會副執行長楊仁達則表示，對的團隊、對的題目，加上對的時機，就是成立資安新創的關鍵，他過往跟資安產業沒有太多淵源，但現在題目和時機對了，就是往前走的機會。他以往認為，資安是煞車皮，但現在則認為，有資安才有競爭力，要落實資安的智慧聯防，守好臺灣的網路安全。

資安監控平臺監控範圍廣泛，囊括醫院到供應鏈業者

毛敬豪表示，資安鑄造公司現有的產品，主要是原先資安所研發的科專計畫，也就是針對行動App的資安檢測工具Crystal Mobile Application Analysis & Assessment System（CMAS），可以偵測行動App的漏洞與風險，確保個人資料再行動裝置的安全性。

畢竟，現今大幅開放API之後，使用者行為與帳號都可能遭到外部滲透竊取，許多網銀App若不夠安全，也可能造成信用卡或銀行帳密資料外洩，甚至金融機構與第三方業者串接時，一旦發生配置錯誤，都可能造成個資外洩。對此，他指出，CMAS不僅符合工業局「行動應用App基本資安檢測項目」，也會查驗OWASP的行動裝置十大漏洞（OWASP Mobile Top 10）的檢核項目。

資安鑄造公司打造的資安監控平臺，目前已經鎖定醫療單位，進行「主動式資安防禦與精準快篩」的資安監控，毛敬豪表示，他們會先在閘道端部署NDR，監控範圍內的電腦行為，一旦發現可疑電腦，則部署合作的EDR系統（目前是和TeamT5的ThreatSonar合作），收集EDR的異常資訊後，並回傳資安監控平臺，將產出供資安長閱讀的資安威脅情資，作為相關的資安決策參考依據。

他也強調，醫院需要的是醫療營運的資安報告，透過戰情牆的方式，提供資安事件回報和情資處理狀況；目前費用的計算方式是打開API，計算雲端存取的數量，以及把資料送回來，產生合規報告的費用。

另外，現在也有許多供應鏈大廠開始對其供應商，進行資安稽核。像是台積電有1,500家供應商，他們都必須要符合SEMI的資安規範，但仍有一些規模較小的供應商，例如土建業者等，光是用戶端安全就無法通過台積電的資安稽核。

毛敬豪說，透過資安監控平臺的方式，強化小型供應商的資安合規程度，當配合的業者變得越來越多時，也可藉此達到中小企業資安聯防的成效。他表示，目前針對這類規模較小的供應商，要協助他們滿足供應鏈業者提出的資安規範，短期是計算服務費用，長期而言，若是資安平衡計分卡達到某個分數以上的廠商，會提供資安解決方案的訂閱費用，善用各種開源軟體和硬體設備，組合成適切的解決方案。

此外，為了強化未來5G場域的工控，以及供應鏈資安的防護需求，毛敬豪指出，資安鑄造公司已經和日商簽訂合約，會在其5G專網導入5G資安解決方案，利用AI偵測各種惡意程式；同時，也和高科技大廠展開合作，監控5G工控需要的相關資安解決方案，目的也是要達到資安合規。他說：「三年後，該公司的最終目標，是希望提供5G的ICS SOC（資安監控中心）。」

提供供應鏈業者資安合規評估服務

針對供應鏈業者，他們也開始提供「供應鏈資安合規評估」的資安服務。毛敬豪表示，主要包含資安健檢、教育訓練、顧問諮詢和持續監控等四個面向。其中，資安健檢的內容包括：現況訪談、端點和網路安全性、行動App檢測、惡意連線竊取造成的資料外洩和弱點掃描等；教育訓練主要針對高階主管資安認知教育，像是資安事件案例分享、資安法概述，或是資安技術解決方案分析等等。

而顧問諮詢的部分，主要是規畫可行的資安規範、制度，以及推動時程，也提供合規評估項目所建議的解決方案；至於持續監控的範圍，則包括：EDR解決方案、定期弱點掃描、針對場域情資狀態進行的網路監控情資服務、惡意活動檢視並產出監控月報等。

毛敬豪強調，該公司同時提供供應鏈資安合規評估，目的就是希望協助供應商業者，達到安全軟體成熟度模型（BSIMM），並符合美國NESAS的要求規範，從安全性需求，一路到安全性設計、安全性開發、安全性測試和安全性部署，滿足安全的軟體開發生命周期（SSDLC）規範。

另外，他說，該公司也會運用韌體拆解技術，針對軟體組成元件（SBOM）進行弱點特徵的比對，確保軟體的安全，包括第三方或是供應商軟體組成元件。文⊙黃彥棻

Box：鎖定經營印太海外市場，制定東東東發展策略

許多資安新創公司在創業初期，往往都以臺灣市場為主要經營對象，但臺灣資安新創的資安鑄造公司副執行長王仁甫認為，資安新創公司要能夠長遠發展，經營海外市場是必然要走的路，所以，資安鑄造公司不僅訂定未來五年的里程碑，更在2021年創業初期，正式確立「東東東」海外發展政策。

他進一步解釋，初期30％的精力，會以經營臺灣，以及外島和離島市場為主；而30％的精力，會放在經營中東歐及日本東京市場為主。在中東歐的部分，資安鑄造公司主要以友臺的歐盟國家作為合作對象，例如：立陶宛、捷克和斯洛伐克等，目前也和捷克的醫院有合作關係，並已和位於東京的日本業者洽談合作事宜；至於剩下40％的精力，會放在許多人忽略的中東地區市場。

另外，資安鑄造公司也制定五年業務發展計畫，除了2021年訂定東東東市場發展策略，在2022新的一年，他們希望科專計畫必須落地，完成跨IT與OT的資安監控平臺，包括和數聯資安合作維護的253家的醫院監控，日本製造業的國際資安標準檢測，也必須接軌美國CMMC 2.0版。

2023年，他們鎖定半導體資安監控，重點在針對IC晶片的木馬檢測的「UFO」弱點檢測技術，以及資安監控技術與應用；而在2024年，他們的目標，主要是鎖定供應鏈資安範疇，目的是提供5G及供應鏈資安的維護；到了2025年，則要做到印太資安平臺，要成立印太晶片檢測實驗室，打造更完善的供應鏈資安監控平臺。文⊙黃彥棻