手機、雲端、IoT、AI應用接連爆發，身分管理大失控狂潮來襲！

根據2025年10月公布的《iThome 2025 CIO & CISO大調查報告書資安篇》，臺灣企業與組織的前三大機密性資安風險，依序為個人資料外洩、機敏資料外洩、內部人員（現任或前任員工）發動攻擊，前三大完整性資安風險，依序為網路釣魚／社交工程手段、資安漏洞（如零時差漏洞攻擊）濫用、商業郵件詐騙（BEC），絕大多數都跟身分安全有關；然而，在各種資安防護技術的採用率上，身分存取與管理（IAM）排名第八，就產業類型而言，金融業與服務業較重視這類技術的投資，有超過與逼近一半的公司表示，他們有意持續強化IAM。

機器身分數量暴增，企業若無法有效管理，恐將成為資安大患

身分安全顯然很重要，然而，企業與組織面臨的挑戰越來越巨大。根據資安廠商CyberArk去年發布的報告，有一半的企業資安領導者表示，他們因為機器身分（Machine Identity）遭駭，導致發生資安事故，而且，超過一半的比例預估未來一年機器身分的數量將成長50％。綜合該公司近幾年定期揭露的身分安全情勢報告當中，我們也可以看到機器身分與人員身分（Human Identity）數量的比例巨大變化，從45比1暴增至82比1，單就金融業而言，比例高到96比1，以國家地區來看，英國甚至達到100比1。

何謂機器身分？CyberArk亞太及日本區業務工程副總裁霍超文（Jeffrey Kok）表示，基本上，只要不是有人操作、有人使用的身分，都是屬於機器身分，為什麼機器身分需要特別獨立看待？因為人可以更改密碼、人可以用多因素驗證（MFA），但機器並不能這麼做，傳統的控制在此並不存在。

而且，研發或開發新系統的方式也改變了，目前已經有很多系統是基於Kubernetes、Serverless、Microservices等架構而成，這些應用系統都需要有身分來對接，不論是與人、行動App，或者與後端的其他服務對接，所以才會產生大量機器身分。

除此之外，各領域引進IT應用系統的速度越來越快，很多企業採用的SaaS雲端服務也越來越多。以前沒有SaaS，企業開發一個App可能需要一年半載，有了SaaS的存在，現在企業可以快速引進5或10個App。

霍超文說，改變最大的就是AI，過去機器的身分是固定的，每個App提供專屬的功能，到了AI領域，功能更多元，可做的事情很多，可以產生其他AI的身分，而且，AI身分也遠遠超越一般的機器身分，因為它不僅可以自行建立、也能自己產生，也可以透過代理人的身分執行工作，因此，造成機器身分數量高速爆發。

機器身分之所以大量增加，也和不同系統的連接有關，例如，App與App的對接、App與AI的對接，因此，身分數量更是倍增。舉例來說，企業原本有10個應用系統，若增加到20個，增加的身分數量可能不只10個，因為這些系統彼此連接，所以又會產生更多身分，甚至呈指數增加。

事實上，很多企業無法充分識別本身掌管的身分，霍超文說，向CIO詢問公司管理的身分數量時，對方通常可以回答，不過，對於AI身分與非AI身分的數量，可能就無法回答，因為兩者很難區分。而且，更大的問題在於，有些企業並未妥善管理機器身分，所以他們無法掌握身分數量。若從人員身分來看，當CIO被問到公司的員工，他通常都會很明確知道數量與所屬部門，但若被問到機器，可能就不清楚了，部分原因在於他不一定清楚知道它們的存在，然而，無法掌握機器身分也是一種資安風險。

為了避免身分安全態勢陷入越來越混亂的局面，企業該怎麼做？霍超文建議，先了解問題，我們才可以提供正確的策略、優先順序、流程，而且，必須了解管理身分的方式，一些大型企業早就開始著手解決這類問題，因此，他們能夠明確知道自己掌管的身分。

除此之外，企業需要透過多元的方式去處理身分管理。首先，公司的領導階層要了解這個議題的重要性，尤其是董事會必須有足夠的認知，因為董事會若能提出這類問題，CIO就必須做足準備才能回答。

在組織底層運作的部分，相關人員必須知道如何妥善管理與設置機器身分；公司的稽核與治理也扮演重要角色，例如，稽核人員必須能提出正確的問題，否則相關人員對於身分議題的處理，不會採取主動、積極態度，也不會有後續追蹤，而且，稽核人員都是依據法規的要求行事，以中國為例，假設銀監會（中國銀行業監督管理委員會）未要求管理身分，銀行不一定會主動解決問題。

霍超文說，很多國家法規治理的要求都已經擴大解釋，先前政府可能僅要求企業管理人員的身分，但現在也開始要求要同時管理非人的身分（Non-human Identities，NHI），所以這是整個生態環境都需要關注的發展面向，如此一來，才會提高企業對機器身分的管理能力，進而控制它的風險，否則會有越來越大、越來越多的問題發生。

身分管理是企業不能忽視的議題，霍超文提醒，越晚開始著手管控，問題會越來越大，相反地，越早導入好的流程，至少企業能夠瞭解身分的問題嚴重程度，更充分掌握管理不足之處，也能採用好的技術，協助減低管理負擔。

導入最佳實務，重新建立更強固的身分安全系統

除了平時及早做好事前準備，該如何做好身分安全的事中應變與事後矯正？霍超文談到他們幫助客戶的方式。當企業察覺本身受到網路攻擊的時候，首先會啟動事故應變的程序，設法控制攻擊者所能存取的範圍，將攻擊者從自家環境驅離，後續若要進行威脅的緩解，就會開始啟動事故矯正的程序，並與事故應變相互配合。

過程中，企業勢必要重新產生「乾淨」的身分系統，若非如此，受到「汙染」的部分可能會繼續存在，資安廠商也會納入正確的處理流程與解決方案。此時企業該如何自建、從何處著手、運用哪些概念？霍超文說，CyberArk在九年前已經開始跟大家分享應該怎麼考量，因應環境的快速變化，他們每年都更新相關概念、處理方式、優先順序，以及散布的作法，而且，這些工作CyberArk已做了二十多年，也不停地教導客戶可執行的身分安全方法。

他們將這套強化身分防護的最佳實務稱之為CyberArk Blueprint，如果企業要從頭開始強化身分安全，可參考他們提供的設計藍圖，背後包含來自客戶的意見回饋、學習到的教訓，以及事故應變者可以參考的經驗與建議。

霍超文強調，同一套藍圖，不論用於身分系統的重新建置或事故應變、事故矯正等階段，最終仍指向企業如何掌管最重要的部分與去除風險。然而，這也跟各國法規遵循的要求有關，企業一般只需向當局的主管機關申報，不一定要公開所有的細節，相較之下，在美國、新加坡只要遇到與個人識別資訊（PII）有關，企業為了遵循法令，就必須強制披露資訊（Mandatory Disclosure），由於政府對於透明度要求很高，所以企業會公開發布報告，揭露不同時間發生的事情，以及組織人員的活動。

AI應用大爆發，企業機器身分管理風險升溫

關於身分安全的管控，霍超文表示，全世界都會面臨這些挑戰，問題在於機率有多大，以及控制力道有多強。以密碼安全為例，理想的做法是強制實施強式密碼，並且用系統去管控，話雖如此，但所有的企業、所有的身分未必都有同樣的識別機制，大部分企業是做不到100％的一致；更何況密碼只是一種身分安全的作法，也可以是API金鑰、數位憑證，企業環境當中存在多種身分，若能妥善管理到90％，已經是產業最佳實務。

事實上，很多企業根本不知道自家公司身分的妥善管理程度，就算是最先進的企業，也可能有疏漏之處，例如可能沒控管新型態或新出現的身分，霍超文表示，對於攻擊者而言，並不需要拿到全部的身分與掌握全部的存取管道，甚至能取得其中一個就夠了。

以幾個月前發生的Salesloft Drift事故為例，多數企業認為採用OAuth這樣的身分存取授權流程應該是安全的，但由於會用到存取權杖（Access Token），一旦這個元件遭到竊取，攻擊者就可以冒用這個授權進行非法存取。

此外，大部分企業也會認為這是廠商層面的資安風險，但不一定能更完整意識到整體的影響範疇。因為廠商提供的應用服務原本應該經由企業知曉的管道進到內部系統，因此，授予的權杖若被用於其他地方，企業又無法識別這樣的異常用途，就會產生風險；相關的存取權杖有效期限如果太長，也是個問題；權杖被用在特定系統的存取，以及所從事的活動，也必須受到監督，因為若是攻擊者拿到權杖，往往會以此做出超過合理範圍的行為。霍超文認為，這些都是企業必須識別的身分使用狀態，也是典型的機器身分管理議題，上述專攻對話式AI和銷售自動化領域的Salesloft Drift也是一種AI應用，所以，AI與機器身分的風險也能在這樣的例子突顯，而且，接下來，這類狀況會越來越多，因為企業對傳統的身分已經提供妥善的保護，但有心人士只需攻擊弱點，而身分管理弱點顯然會相對容易出現在新的系統，像是AI。

霍超文之所以會有這樣的推測，一方面也是因為AI新創公司如雨後春筍冒出，市值10億美元以上的企業有接近五百多家，在這些公司提供的解決方案當中，資安或機器身分管理不一定是優先關注的部分，能把產品賣出去是重點，若本身有資安防護的特色，通常是因為客戶不接受安全性不足而加上去的，對於攻擊者而言，這些都是很好的目標或帶來很好的機會，一方面因為客戶很快採用此類產品，另一方面則是解決方案不夠安全。

以2025年開始風行的AI瀏覽器為例，帶來更多方便之餘，也令人擔憂身分委派給AI處理，若使用者遇上提示注入攻擊（prompt injection），後續可能會出現失控與難以預期的危險狀況。霍超文說，因為當我們將權限、密碼、身分交給AI，它怎麼運用？它傳到哪裡？我們是不知道的，而且當你提供這些資訊之後，很多時候無法收回或撤下，因此，若要避免這樣的狀況，可能就是透過即時身分存取（Just-In-Time Access）來管制，當存取系統時需要通過身分驗證，當下才提供身分或提升權限，或用來驗證身分、授權的權杖、密碼會不停改變，這麼一來，就算這些憑證不小心被洩漏，產生的風險也會受到抑制。

而在AI應用日益普及的狀況之下，企業早已面臨員工自備AI（BYOAI）的管理難題，許多員工想用AI提高工作效率，但公司不開放或提供AI，於是私自採用AI，增加生產力，隨著代理型AI應用的崛起，使用者可能會將公司IT系統的身分委派給AI使用，如果企業無法識別這是本人或AI代理使用，可能也會產生風險。與其讓員工自備AI，CyberArk也看到很多企業加速自身提供AI服務的腳步，促使每個員工都能有自己的AI專案與AI主控臺，以便能控制與管理風險。

強化整體身分安全，企業必須能實施多元的防護與管理策略

除了最普遍應用的密碼，CyberArk的2025機器身分安全狀態報告指出，涉及資安事故的六大機器身分類型，分別是API金鑰（34％）、SSL/TLS憑證（34％）、IoT裝置憑證（29％）、SSH憑證（28％）、服務帳號權杖（27％）、密鑰（20％），而且，高達72％的組織承認，他們在2024年至少經歷1次憑證相關的事故，發生多次事故的組織比例有34％，有一半組織曾通報發生與機器身分遭駭有關的資安事故或資料外洩。

針對多種身分的管理，霍超文表示，這分成幾個層次：首先，有些身分必須要透過密碼進行驗證，例如，對於電腦、路由器、App，使用者一開始登記或註冊時，一定需要建立一組主密碼（Master Password），因為在特定的狀況下，除了密碼，沒有其他方法能夠認證使用者身分，因為若未設定第一個應用，後續不可能設置FIDO安全金鑰或Passkey，所以，一般都會有這類故障保險（fail-safe）的設置；這組主密碼應該要很長、以亂數產生，並採用安全的保存方式，而且，平時應該不需要用到這組密碼。

接下來是高權限身分的密碼，也需要管控，是由20個或100個大小寫字母、數字、特殊符號組成，以亂數產生，只要系統能夠接受，並將這類密碼保存在保險箱即可，這類密碼平時也不會用到。

至於日常使用的身分，我們可以透過零信任的概念建置FIDO安全金鑰或Passkey。沒通過身分認證之前，使用者沒有得到任何存取系統的權限，一旦通過FIDO安全金鑰或Passkey的認證，系統才能開放權限給使用者。經過多年的發展與推廣，企業與使用者越來越熟悉相關概念，解決方案也越來越普遍。

例如，安卓與蘋果手機先前無法原生保存Passkey，這幾年來已經陸續內建支援；新的使用者登入Google、微軟等雲端服務帳戶時，使用者可設定Passkey強化身分防護。Passkey不只是出現在消費型應用，企業IT環境也可以運用，很多大型平臺都已支援，FIDO安全金鑰也是如此。霍超文認為IT消費化（Consumerization）是好事，因為一般使用者習慣這些技術、概念、操作流程之後，當企業要在內部環境推動這樣的身分應用新模式時，會變得更加容易。而且，FIDO安全金鑰與Passkey只是身分識別方式的幾種類型，只要企業的應用系統支援單一登入整合（Single Sign-On，SSO），而且，這項集中登入機制支援FIDO安全金鑰與Passkey，企業可跟員工討論要信任何種身分驗證機制，霍超文表示，在蘋果跟安卓還沒有提供相關支援之前，CyberArk就已支援FIDO安全金鑰與Passkey。

企業該如何著手推動這樣的身分應用支援？霍超文簡單描述導入的過程。首先，就是使用前，一定要進行註冊（enrollment）的步驟，需要知道代表某個使用者的FIDO安全金鑰與Passkey，讓系統知道這是某個使用者的多因素認證機制；完成登記之後，當員工透過單一登入整合機制存取企業應用系統，或是Salesforce、M365等公司租用的SaaS雲端服務時，就能在不需要輸入密碼的狀況下，搭配FIDO安全金鑰與Passkey進行身分驗證，甚至可直接完成通關程序。簡而言之，當使用者的身分未通過企業系統的多因素驗證，就不會獲得權限，但如果預先進行上述流程的設定，使用者只需點選圖示就能一鍵登入系統，兼顧多因素驗證的防護之餘，又不會影響系統的操作體驗。

若企業需要CyberArk提供這方面的協助，該公司在亞太地區的服務團隊成員持續增加，從三、四個人增加到幾十個人，霍超文說，他們也不停地培訓合作夥伴，因為很多企業都是外包給這些廠商負責，CyberArk的教育訓練與技術認證的體系已涵蓋上述需求，對於支援聯合身分、SAML等多種單一登入整合機制的現代化網站應用系統，可提供協助；若面對的是傳統應用系統，CyberArk會建議企業改成長度很長的密碼，儲存在單一登入整合機制，當使用者透過Passkey想通過系統身分驗證時，CyberArk的產品可協助代為登入，而且密碼不會外露。

當IT系統面臨突發攻擊導致身分安全面臨重大危機，而必須實施密碼或API金鑰的輪換（rotation），若變動幅度不大，還能透過人工手動處理，但如果規模大、金鑰有效期間短，就需要自動化處理。對此，霍超文說，輪換是很古老的策略，CyberArk認為，可以用零常設權限（Zero Standing Privileges，ZSP）的概念來解決這類問題。

簡而言之，使用者就算握有正確的API金鑰、能夠存取系統的帳號，雖然可登入系統，但什麼事都不能做，因為，接下來必須透過CyberArk驗證身分、執行批准存取的程序，使用者的API和身分才能獲得有使用期限的存取權限，時間一到，這些權限就會收回，因此，就算API金鑰被偷，對方也無法永久有效地運用。

在這樣的控管方式之下，企業不需刻意隱藏任何API權杖，使用者提出需求時，可以提供，若系統確定使用者身分是可信任的，就會給予一次或短期的存取權限、ID或API金鑰，超過有效期限後，這些資訊就算被保留下來，也不會有作用。這麼一來，企業也能運用不同的策略去處理這類狀況。

與時俱進，掌握身分安全最新發展態勢及可用的管理方式

在大部分身分安全出狀況的情境當中，霍超文說，許多企業並不知道有新的作法可用，於是，就只能以古老的方式處理上述身分安全的挑戰，因此，CyberArk遇到相關的需求時，最先希望了解的部分是對方想解決的問題，而非僅考量如何促使密碼與金鑰的輪換作業更加便利。事實上，若能更充分地掌握這些情報，才能繼續討論市場上更創新、更有效的因應策略與解決方案。

舉例來說，消費者想買燃油車，霍超文此時會詢問對方要駕車前往的地方，因為這不一定是駕駛一輛燃油車所能滿足的需求，而可能是電動車、自駕車或其他方案，然而，如果消費者不瞭解這類產品，他們就不會想到有其他可能性。

關於市場與身分安全概念的推廣，CyberArk合作的對象很廣泛，包括美國聯邦政府、新加坡金管局等多國政府機構，AWS等IT業者，以及雲端安全聯盟（CSA）、FIDO聯盟等組織，彼此交流新的概念與策略，CyberArk每年都會定期匯報近期的更新進展，這些單位會再以各自決定的方法去進行強化身分管理與安全的工作。

而在實際的法規遵循作業上，以支付卡產業資料安全標準（PCI-DSS）的應用為例，CyberArk也會接觸合格安全評估員（QSA）與稽核人員，因為找到問題之後，接下來企業就必須設法解決，相關人員若能更充分了解身分安全的最新概念與做法，將有助於協助企業達到法規的要求。

霍超文表示，他們一直在推廣這些概念，希望有更多業界與執行業務目標的人了解到新的方案，推廣的對象也涵蓋制定決策的人，提升每個人對於身分安全的認知，體認到身分其實是橫切、貫穿IT的每個層面，因為不論資料庫、應用系統或網路，都一定會有身分，但還是有許多企業不熟悉身分橫跨整個IT平臺的概念，他們仍認為身分只是IT基礎架構一個很小、孤立的部分，只要管好密碼與多因素驗證就可以了。

如果想要持續掌握身分安全的最新發展動向，霍超文推薦他們提供的兩種資源，首先是前面提到的CyberArk Blueprint，可提供具體落實身分安全的細部作法，而且會定期更新，客戶可自己使用，若需要協助，可洽詢CyberArk的合作夥伴，全球四大會計師事務所也都會參考這當中提到的概念，各自發展相關的策略。

另一個是CyberArk在2025年2月推出的一本書《The Identity Security Imperative》，提供PDF檔、實體書籍、Kindle電子書版、Kindle有聲書版，可協助企業與組織了解身分安全的基礎與重要性，在組織實踐身分安全計畫的實務建議與策略，以及展望與準備因應AI與量子運算帶來的衝擊。