【鼓勵業者積極投入美國網路安全成熟度模型認證（CMMC）】打造臺灣國防產業千億產值的關鍵

在今年9月召開的2022臺灣資安大會上，同時舉辦有史以來第一場眾「星」雲集的座談會，這場「CMMC國防產業安全供應鏈論壇」，匯集了許多退役將領。

這個論壇主要是因應國際局勢的變化，探討由美國國防部推出的網路安全成熟度模型認證（CMMC），對臺灣及全球國防產業帶來的衝擊和影響，面對如此龐大的國防商機，不只是傳統的國防產業業者能夠競逐，能否擴及更大範圍的電機、電子業者，使更多臺灣廠商共同分食產值更高的國防產業大餅呢？

了解國際戰略與政治的人都知道，廿一世紀前半，世界面臨嚴峻挑戰，遭遇許多典範轉移。作為國家級國防部智庫國防安全研究院的執行長林成蔚，在這場活動的致詞中，清楚提到：「站在歷史的分歧點，整體國際秩序轉換需要許多新的道具，並且建立新的規範，其中，CMMC就是全球國防產業面對典範轉移時，必須要清楚掌握的新工具。」

林成蔚表示，CMMC這個新的道具也是新的資安規範，將會支撐在廿一世紀新環境需要的各種不同能量，不但可以讓相關組織，具備內建韌性的資安技能，也是讓具備資安技能的業者，可以更積極參與國際市場重要的資格。

他說：「未來，國防安全研究院和臺灣國防產業發展協會（TW-DIDA）將協助臺灣業者，了解這個新的資安規範，更希望藉此積極參與、創造新世界，掌握更多商機。」

由於臺灣過往並沒有針對國防產業進行產業推估，只有國家中山科學研究院曾在2017年12月發表一份《國防產業發展現況與展望》簡報，其中便以自家委外發包的經驗推估，該研究院每年執行政府350多件專案，平均預算約為250億元，另外也有700多家國防供應鏈體系業者，每年也提供100億元至150億元的採購案。

不過，中山科學研究院推估的產值，仍以該單位委外發包的產值來計算，而且臺灣有些精密工業業者，本身是直接對接美國軍火商，提供符合美國國防部規範的重要零組件業者，這些產值並不在中山科學研究院的計算中。

對此，臺灣在2017年7月正式成立臺灣國防產業發展協會，以促進臺灣國防產業發展為宗旨，該協會的秘書長朱旭明表示，臺灣對於國防產業的產值並沒有任何推估，但可以參照日本2022年國防供應鏈產值約為180億美元，對照臺灣整體產業發展和具備的技術能力，臺灣國防產業產值最大規模為日本產值的三分之一，約為60億美元（約為新臺幣1,800億元），他說：「這也是臺灣國防產業可以創造的最大產值。」

如此龐大的國防產業商機，已不是傳統臺灣國防產業業者可以獨食，政大兼任助理教授萬幼筠表示，日本以國家之力推動CMMC，並將原先的電機、電子業者也納入、成為國防產業的一份子，這種把餅做大的方式，也應該是臺灣未來推動CMMC過程中，將許多傳統的電機、電子業者進行淬體、升級作為加入美國國防產業供應鏈所能參考的作法。

美國國防供應鏈風險評估架構與因應措施
美國國防供應鏈風險的分析，可以從「國防供應鏈韌性框架」的四個面向來看，同時，可以參考美國國防部提出7個相對應的措施，做到建構與發展可信賴的產業實務。

臺灣要優先改善國防產業資安，建立完整安全檢查。亞洲航空董事長特助、臺灣國防產業發展協會顧問傅孟杰直言，對於臺灣國防產業與中國有聯繫或商業往來的企業，能否確保機密、敏感技術不外流，美國有疑慮。

為了大幅度拓展臺灣國防產業的產值，臺灣國防產業發展協會秘書長朱旭明表示，我們可以參考日本、南韓積極引進CMMC作法，並期待臺灣國防產值可以擴大到60億美元。

推動CMMC有助於提升臺灣防衛力

烏俄戰爭從今年二月實體戰爭開打後，一直沒有停戰的趨勢，而作為烏克蘭主要軍事武器提供者的美國，也面臨武器交期延遲的困境，甚至影響到美國對臺灣軍售武器的交貨。

在這個緊張時刻，傳出有多個武器承包商會員的美臺商業協會（USTBC）作為中間人，表達美國拜登政府有意與臺灣合作、共同在臺灣生產相關的國防軍事武器，而這樣的作為，不僅有助於加快美國對臺軍售武器的交期，也可以強化臺灣的國防防衛能力。

相關媒體引述美臺商業協會會長韓儒伯（Rupert Hammond）的訪談內容說道，臺美聯合生產武器已經有初步想法，但生產的武器項目並未有進一步消息，外界評估可能會偏重彈藥及導彈技術相關的類別；至於聯合生產的方式可能有兩種，一種是由美方提供技術、在臺灣製造；或者是在臺灣生產零組件、在美國製造兩種方式。

只不過，臺美聯和武器生產的計畫若要順利落實，仍有很大努力空間，因為這不僅要經過美國國務院、國防部及武器製造商的同意及核准，一旦雙方預計聯合生產武器，如何確保相關國防關鍵技術與機敏資料不會遭到外洩，則是這起合作案能否持續的最大關鍵。

不只技術和機敏資料不能外洩，在國際情勢越來越複雜的情況下，尤其在美中貿易大戰之後，美國有許多先進技術和晶片產品等，都明令禁止提供給中國及相關企業使用，甚至也明白禁止，美國企業不能使用來自中國的技術和產品，如果重要核心關鍵產業的產品或原料使用來自中國的產品，國防部不僅要調查相關的採購是否有違法，甚至可能暫停交付相關產品。

最明顯的例子就是，在今年九月上旬，由軍火業者洛克希德馬丁研發的F35II閃電戰鬥機中所使用的渦輪機幫浦，美國國防部得知當中使用來自中國稀土鈷和釤合金原料製成的磁鐵作為啟動器的動力，為了進一步調查並確保安全性，選擇暫停交付戰機。

經過後續調查確認，該特殊合金是在美國進行磁化，也沒有傳送任何敏感資訊，未來也會選擇其他非中國的合金原料，才恢復後續的戰機交付流程。

以F35戰機為例，由全球1,700家供應商所提供的30萬個零組件組成，而每一家廠商的生產流程中，所有用到的零組件都需要經過檢查；為了確保這些供應商都是合格的供應商，也必須遵守美國《國防聯邦採購補充條例》（DFARS）以及符合美國NIST 800-171或NIST 800-172的規定。

為了提升並確保美國國防供應鏈業者資訊安全防護能力，美國國防部也在2020年1月31日發布「第1版網路安全成熟度模型認證（CMMC 1.0）」，這也是針對國防供應鏈業者第一線承包商，以及第二、三線分包商所制定的網路安全標準，並於2021年11月推出的CMMC 2.0版草案，預計2023年3至5月推出CMMC 2.0正式版，並於2026年財年（9月30日）後全面實施。

國防產業屬於臺灣產業創新研發計畫的重點領域之一，並設定航太、船艦、資安為三大國防核心產業。在航太產業方面，推動飛機、無人飛行載具及低軌衛星之研發計畫，在船艦產業方面，也已啟動各式水面艦與潛艦自製計畫，在資安及數位產業方面，成立資安攻防及跨國合作機構，並加速其產業化並開拓國際市場。

亞洲航空股份有限公司董事長特助，也是臺灣國防產業發展協會顧問傅孟杰直言，臺灣高舉「資安即國安」的政策方針，因此，國防供應鏈的安全也意味著國防產業安全、國防機密安全，甚至是國家安全的情況下，臺灣勢必要優先改善臺灣國防產業的資訊安全保護，建立完整的安全檢查機制更是當務之急。

傅孟杰認為，臺、美的國防產業界緊密合作將不可避免，但這也為臺灣帶來新的挑戰。他不諱言地表示，美國對臺灣國防產業界有些與中國有聯繫或商業往來的企業，是否能確保美國轉移的機密、敏感技術不外流，仍有疑慮。

因此，臺灣如何建立新的法規機制，而能向美國政府保證敏感技術不會遭到不當移轉？參考美國國防部推出的CMMC 2.0標準並積極取得相關認證，就是依照美國國防產業標準，可趁機提升臺灣國防產業資訊安全水準，做到確保機敏資訊不外洩，並創造安全、可信賴產業環境，使其成為臺美雙邊產業合作的重要關鍵。

NIST CSF 2.0版增加NIST SP800-171的資訊服務安全面向
NIST CSF 2.0新版的內容，不僅要符合白宮第14028號行政命令，也必須符合針對國防產業所制定的CMMC 2.0草案規範，以及相關的NIST SP 800-171資安規範。

加入美國供應鏈安全體系，需符合NIST資安規範

美國總統拜登於2021年2月底簽署第14017號行政命令《美國供應鏈》（EO 14017），這是一個相當聚焦於「產業」的行政命令，不只包含國防產業在內，為了確保臺灣供應鏈安全，金管會已經責成銀行、保險和證券業者撰寫相關供應鏈安全規範，主要參考美國NIST SP 800-161，這是一個客戶端（甲方）的規範，至於供應商（乙方）的規範，則是參考美國NIST SP 800-171和NIST SP 800-172。事實上，國防產業的供應鏈商機遠遠大於金融業，只不過，臺灣國防產業以往只局限傳統的國防供應鏈業者，商機就無從擴大。

事實上，美國看待國防供應鏈的風險，主要是從「國防供應鏈韌性框架」的四個面向來審視，分別是：Internal（國防部內部單位）、Interagency（美國跨部門）、International（國際可信賴關係），以及Industry（產業）等四個面向，並提出7個相對應的因應措施，包括：（1）建立美國國內生產能力；（2）從程序與實務面，連結國際間的聯盟夥伴；（3）緩解外國控制、擁有或影響（FOCI）的企業風險與保護市場；（4）修訂軍品籌獲（即武器採購）政策；（5）進行供應鏈數據分析；（6）整合籌獲需求，以及（7）建構與發展可信賴的產業實務。

萬幼筠表示，供應鏈安全問題已經是全球民主同盟國家共同面臨的挑戰，根據歐盟資訊安全局（ENISA）統計，供應鏈資安攻擊近兩年大幅提升，成為網路安全威脅主因，有66％的攻擊聚焦在供應商的程式碼，62%的攻擊是利用客戶對其供應商的信任，62%的攻擊源自於惡意程式，另外也有58%的攻擊來自於所取得的資料。

而美國針對供應商的資安風險管理作為，可以從客戶端及供應商端這兩個面向來看。萬幼筠表示，若參考美國NIST標準，甲方（採購/客戶端）的內部建置採購過濾選擇機制，以及委外安全管理機制等，都可參考SP 800-161規範；若是乙方（供應商端）內部建置資安合規機制等，則可以參考SP 800-171規範（入門款）及SP 800-172規範（高保密等級增益款）。

作為美國聯邦資訊安全框架NIST CSF也於今年6月，收集改版的意見，並制定7個修訂目標與方向，包括：（1）聚焦於維護和建立CSF框架更新時的關鍵屬性；（2）維持CSF與其他NIST既有架構的一致性；（3）提供更多的CSF實施指引；（4）確保CSF框架得以維持技術中立，但容許不同的技術議題，包含新技術的演進與實務；（5）強調評估框架實施結果的方式與量測標準的重要性；（6）供應鏈的網路安全風險納入框架考量；以及（7）透過國家改善供應鏈資通安全倡議（NIICS）對應既有的實施措施，並提供有效的實作指引和工具，以強化網路安全供應鏈風險管理。

在2021年5月，美國總統拜登已頒布改善國家安全的第14028號行政命令（EO 14028），並針對「強化軟體供應鏈安全」制定相關的指南，其中，也必須符合NIST CSF 2.0新版的內容和針對國防產業所制定CMMC 2.0草案規範。

萬幼筠表示，NIST CSF 2.0面對開發商、軟體使用者、商業組織、主管機關和政府不斷增加的資安需求，為達安全軟體開發生命週期（SSDLC），各種軟體元件和組態的SBOM（軟體物料清單），皆須滿足供應鏈資安風險管理規範，強化NIST SP800-171資訊服務安全面向作為，從SSDLC、SecDevOps提升軟體安全，了解軟體元件以衡量風險，呼應整體企業風險管理胃納，回應政府監理要求，真正做到「資安即國安」。

可參照日韓引進CMMC作法，擴大臺灣國防商機

國防商機龐大，但也同時面臨「價值」選擇！因為，目前選擇美國價值的國家，才能成為美國國防供應鏈一員，但要取得這資格，必須符合美國國防部對第一線承包商和第二、三線分包商的規範，其中尤以CMMC 2.0草案為最。

美國國防合約管理局（DCMA）今年2月統計，光去2021年的軍購預算就高達7,800億美元，其中，美國軍品採購高達990億美元規模，有超過4億個零組件的需求，由30萬家供應鏈業者提供。假若臺灣的製造業者，可以轉型成符合美國國防部規範的國防製造業，不僅訂單穩定、利潤增加，也有助於提升臺灣的防衛能力。

預估美國接受CMMC規範要求的供應商數量達30萬家，其中有許多日、韓業者，為什麼優秀的臺灣製造業者，不能成為美國供應鏈的一環呢？萬幼筠表示，美國國防供應鏈商機並不能單純視為電機、電子業者的商機，因為只要在中國設廠的製造業者，都不符合美國對國防供應商的規範。

以日本而言，他們在2018年引進符合美國NIST SP 800-171規範，從軍購合約的採購限制規範、服務內容，零組件SBOM、採購辦法、系統軍武安全等，都必須符合SP 800-171第一級的規範，當時已經有700家業者做完第一級。

防衛裝備廳調查，符合啟動CMMC驗證預備活動的國防產業業者約為300家，包含主要的三菱重工、鈴木重工，日本希望以大廠帶小廠的方式，預計加入日本輸入美國防供應商業者達7000家，市場規模達180億美元。

南韓則是在2019年，由國防採辦計畫管理局（DAPA）引進CMMC，建立韓國版國防技術保護成熟度模型認證：K-CMMC；其中，系統性推廣計畫的研究項目之一，就是預計由DAPA成立國防工業振興機構（Defense Industry Promotion Agency），目前已有70家韓國主要國防供應商加入建置CMMC，包含大型主要供應商4家；中小型出口110家（其中70家已經2020年前訓練完畢）；支援性廠商2,600家（非出口）。

由於韓國計畫成為全世界第四大武器供應國，希望將韓國國防工業成為戰略工業化和國防強國，符合美國CMMC規範、推動韓版K-CMMC只是韓國擴大國防商機的第一步。

面對上述日韓等國的大規模投入，臺灣同樣需要積極爭取，然而，我們推動CMMC的作為，以及相關的推動單位在哪裡呢？

 相關報導