【產品資安實務經驗：四零四科技】從依循IEC 62443到成立PSC，產品資安強化成為公司的長期工程

當全球對產品資安的要求愈來愈高，對於工業網通設備這類產品而言，產品壽命動輒10年以上，其資安問題早已不能忽視。工控設備製造商四零四科技（Moxa）近年持續強化產品資安，包括很早就投入安全開發並研究IEC 62443，3年前成立產品資安中心（Product Security Center，PSC），以系統化方式推動產品資安的落實。

產品資安發展有3大重要階段，首先從IEC 62443出發

回顧這幾年Moxa的產品資安發展，四零四科技研發中心與產品資安中心資深協理張懿表示，整體而言，可分成幾個重要階段：

● 2016年。開始研究IEC 62443標準，改進產品開發安全。

● 2020年。取得IEC 62443-4-1「安全開發生命週期流程」認證，隔年建立虛擬PSIRT小組。

● 2022年。成立產品資安中心，不只負責PSIRT任務，也涵蓋產品資安政策落地；2023年取得IEC 62443-4-2的產品安全性要求認證，另加入MITRE CNA計畫可指派自家產品CVE。

回憶多年前剛推動這些工作的情形，四零四科技研發中心研發副總顏志安笑著說，當團隊突然得知要做IEC 62443認證時，普遍感覺是「晴天霹靂」，覺得那是突然多出來的大工程。

如今情形已然不同，現在會議上大家會主動討論雜湊／完整性檢查機制，甚至在供應商來訪時，會主動了解其SDK元件的安全確保方式，這是早年他們無法想像到的轉變。

人員的能力與經驗是門檻，從RD與QA培養種子成員做起

談起Moxa在產品資安上的布局，張懿表示，他們開發的是工控領域產品，安全需求相對更高，因此在2016年即投入研究IEC 62443標準的安全性要求。

初期推動的最大困難，在於研發人員（RD）與測試人員（QA）需有相關知識，為此，他們透過內部培訓並挑選一批種子成員，在選定專案的安全開發生命週期各階段，逐一落實資安要求。此外，產品經理（PM）也在理解客戶場域與法規的需求。

2020年是轉捩點，當時他們啟動產品認證作業，藉此強化產品的可信度。張懿指出，要取得IEC 62443-4-2「產品安全性要求」認證，前提是必須先通過IEC 62443-4-1「安全開發生命週期流程」審查，確保整個開發流程具備可持續落實安全的能力。

因此，2020年首度有產品取得IEC 62443-4-1認證後，累積更多實作經驗，隔年，Moxa也誕生首款通過IEC 62443-4-2 SL2認證的產品。

儘管早年即依循IEC 62443相關標準設計產品，為何還想要取得認證？張懿提到兩個考量點，一是很實際的商業取向，有助於取得客戶信任，二是可以驅動內部團隊，有了明確的認證目標，自然而然會有相應的資源與心力投入，比起反覆對同仁喊話「要做好產品安全」，可形成更強勁的動力。

事實上，後續PSIRT的成立，也是回應這樣的需求，既然要把資安視為品質標準的一部分，對於出貨產品的漏洞問題，就必須負起責任。因此，Moxa在2021年先建立虛擬PSIRT小組，但此時還並非正式編制的團隊。

成立PSC統籌全局，如同在公司內部打造乙方顧問團

2022年是另一個關鍵年。Moxa正式設立產品資安中心（PSC），不只承接PSIRT任務處理產品安全事件的應變，更重要是肩負依循公司資安政策進行制度設計與規畫的角色，必須與各部門協調，確保規範與流程能真正落地。

此時Moxa內部同樣面臨人才的難題，因此Moxa在建立PSC時，是找來原本在乙方、具資安專業背景的專家負責。他們形容：這很像是在公司內部建立一個乙方顧問團，輔導甲方以更系統化方式來鞏固產品資安。

目前Moxa的產品資安架構從研發一路延伸到上市後的維運，持續對每個環節優化。張懿強調，人對新流程會抗拒，公司必須先在策略層面明確表態「產品資安」的策略，PSC才有足夠授權推動技術與流程真正落地。

看重整體架構自動化發展，目標將資安變成CI/CD日常

談到如何在內部推動產品資安能力提升，務實、漸進是Moxa的主要策略。顏志安表示，早期推動安全開發時，會面對許多不同挑戰，因此他們會每年設定一個明確目標，讓團隊能力逐步成長。張懿補充：「我們其實會預先評估每個階段的張力，以及額外需要的資源。」

而且，近年Moxa內部還舉辦名為Dojo的CTF競賽，目的是讓工程師覺得資安有趣，並會針對現在所需能力設計題目，希望透過這種文化帶動方式，降低內部在學習與心態轉變上的阻力。

對於導入IEC 62443後的轉變，他們兩人提到不少感想，例如，依循標準的好處，是有一個完整框架協助思考產品設計；雖然前期比較辛苦，但一旦安全基準線穩定下來，新產品在設計時就有明確規範，面對法規持續演進，回應資安功能需求的速度也會快得多。

更關鍵的是，過去許多資安工作多半「手動、按需求執行」，但隨著經驗累積，他們體認到更重要的地方是，整個基礎架構的自動化。這點在他們早期取證時其實還未意識到，因此是這幾年持續努力精進的方向，要將工具跟流程嵌進CI/CD流程，導入DevSecOps的概念，讓新產品開發能受益於既有的自動化流程。另外，他們也提到，會特別針對共用元件執行集中管理，好處是可避免每個團隊重複花時間識別元件風險。

而在PSIRT的運作上，從2023到2025年間，他們仍是持續優化與調整流程，因為內部能量有限，不可能無限制投入資源，但面對外部龐大的資安資訊量，希望做到結構化的整理，當遇到有反覆同類型的弱點時，可分享同仁知曉，回饋事件回應或是產品開發計畫。

另一個持續存在的產品資安挑戰，來自於生命週期長的舊產品。儘管約九成產品已採用新的安全開發模式，但那些10年前推出的設備，受到運算能力與記憶體限制，如何改善仍是他們希望逐步突破的課題。這主要也是他們會面對工控環境對設備長期供貨的期待。

此外，為了讓產品漏洞發現更主動，今年Moxa也首度展開Bug Bounty，參與資安院「產品資安漏洞獵捕計畫」。顏志安表示，從研發角度來看，如果在已經投入大量產品安全心力之後，仍能被研究人員挖出先前沒考慮周全的弱點，那這筆預算對產品安全的提升就非常值得。不過，目前他們仍是在「試水溫」階段，先透過國內平臺試行，而不是一開始就給全球研究人員全面挑戰。

整體來看，張懿表示，Moxa 推動產品資安的起點，確實是把它視為與競爭對手區隔的差異化賣點；但隨著國際法規與客戶要求逐步成形，資安已是基本要求，因此，他們也持續關注歐盟CRA等新法規的進展，例如出廠時設備支援年限要如何設定等議題。

至於是否開始用AI強化產品資安團隊的能力，張懿表示，目前仍在內部驗證階段，但已有幾個具體方向。例如：在評估風險、CVSS嚴重度，先由AI Agent產出初步結果，再交由人員審核；資安公告先用AI生初稿，再人工修訂；發展知識支援Agent幫助法規解讀與最佳實務的檢索，而非只靠關鍵字搜尋。整體目的都是提升效率、減輕人力負擔。

顏志安補充道，在產品開發面，其實沒有特別聚焦AI for Security，而是更廣泛去看AI for Development，無論是疑難排解、設計邊界情境測試（boundary cases），同時也會包含程式碼審查的潛在問題發現。著眼點比較是軟體工程，安全性自然也一併受益。