資策會資安所聚焦三大戰略核心，推動臺灣產業接軌全球資安韌性

在國際資安情勢劇烈動盪的今日，臺灣產業唯有強化資安韌性，方能提升全球競爭力。資策會資安科技研究所（以下簡稱『資安所』）所長李榮三博士指出，資安所的技術佈局與研發思維，始終圍繞「前瞻視野」、「技術自主」、「接軌國際標準」三大核心理念；三者環環相扣，構成驅動資安創新研發與實務落地的關鍵動能。

基於上述戰略思維，資安所現階段聚焦於「後量子密碼」（PQC）、「美國國防部供應鏈資安框架」（CMMC）、「AI模型資安」三大技術領域，期望透過這些前瞻技術的落地應用，為臺灣資安產業注入新動能，進而推動臺灣資安產業升級。

搶先部署量子防線，迎戰未來威脅

隨著量子運算技術突飛猛進，傳統加密演算法正面臨解密風險，導致資安防線急待升級。有鑑於此，資策會資安所超前部署後量子密碼遷移部署，為臺灣資安體系建立新一代安全基礎。

李榮三表示，量子電腦擅於高效破解諸如質因數分解、離散對數等週期性數學難題，未來將對RSA、ECC或ElGamal等非對稱式加密演算法構成嚴重威脅。所以美國聯邦政府明確要求各產業於2035年前完成PQC遷移，臺灣若欲保有供應鏈競爭力，必須同步啟動密碼系統的轉型，以確保與全球供應鏈的順暢對接與機敏資訊的安全防護。

2024年4月，數位發展部數位產業署攜手「後量子資安產業聯盟」發布臺灣首部「後量子密碼遷移指引」。資策會資安所身為聯盟核心成員，不僅參與技術制定，更成立專業輔導顧問團隊，並積極開發非侵入式網路密碼安全評測工具「PQ-SAT」，協助金融、軍工等高敏感產業盤點資料加密現況、規劃遷移策略。除此以外，李榮三認為政府機構的數位憑證系統（GPKI）將扮演引導角色，帶動整體社會的密碼系統升級，穩健迎向量子時代的資安新標準。

強化CMMC合規，接軌全球國防供應鏈

為因應美國國防部日益嚴格的供應鏈資安要求，資安所積極推動臺灣關鍵產業導入CMMC合規機制，以提升臺灣企業在全球國防供應鏈的競爭力與信任度。

李榮三指出，CMMC框架不僅與NIST 800-171及ISO 27001等國際標準接軌，更能實質提升企業的資安韌性和治理能力。他強調，未來第三方驗證將成為強制性要求，預計對於約莫20萬至30萬家美國國防部全球供應商及分包商產生深遠影響。

在實務推動方面，目前資安所已成功協助漢翔航空針對「鳳展專案」範圍、於2025年5月取得美國國防部CMMC Level 2驗證資格，成為臺灣首家符合該規範的廠商，展現高度資安防護能力，足以保障「受控非機敏資訊」（CUI）的安全性。此案例具有高度指標性，預期將帶動更多供應鏈夥伴跟進導入。

根據資安所統計，截至2024年底，該所已輔導26家涵蓋航太、精密加工及半導體等關鍵產業的業者導入CMMC，協助這些公司強化資安治理與資料流防護。為因應未來大量驗證需求，資安所展開人才與制度面的佈局，旨在協助臺灣加速培育CMMC評鑑人才，期望能於2至3年內成立本土第三方驗證機構（C3PAO），以降低企業赴美驗證的時間與成本，加速打造更具韌性的國防資安供應鏈。

構築AI安全護城河，打造模型韌性堡壘

隨著人工智慧技術加速滲透金融、製造、客服等產業場域，其潛藏的複合型資安風險隨之浮現。李榮三提醒，當前產業界普遍追求AI模型的準確度與效率，卻相對忽略其安全性，導致AI模型在資料收集、訓練、部署與應用等階段，可能曝露於多重威脅中。

他進一步說明，AI系統常見風險包括提示詞注入（Prompt Injection）、供應鏈安全漏洞、不安全輸出、無限制資源消耗等風險，皆已被列入OWASP十大 AI安全威脅。為此，資安所正推動「前端防禦、本體強化、後端監控」三層防禦架構，全面提升AI模型的安全韌性：

• 前端防禦：強化輸入驗證與提示詞防護，阻絕惡意操控模型行為

• 本體強化：導入安全訓練機制與模型行為約束，降低不當輸出與偏誤風險

• 後端監控：建置模型行為監控與異常偵測機制，即時回應潛在資安事件

同時資安所也積極推動「AI BOM」（AI物料清單）概念，是一份詳列AI模型開發與部署所使用資料來源、工具與元件的清單，建立模型開發與部署過程中的元件透明度，協助企業掌握第三方套件、資料來源與模型版本等關鍵資訊，強化供應鏈安全管理。

在實務應用上，資安所已成功協助國內大型語言模型（LLM）廠商進行智慧客服模型安全檢測，揭露多項弱點並提供修正建議，顯著提升模型防禦力。未來亦將開發AI模型中介軟體（Middleware），針對特定產業提供可控、易入手的基礎模型，降低企業AI導入門檻，且確保資安防護到位。

李榮三強調，AI安全不應只是事後補救，而是從設計階段即納入風險控管思維。資安所將持續深化三層防禦架構、推動AI BOM制度化，並打造實用中介軟體，構築臺灣AI資安的護城河，讓企業在追求創新之餘，也能「用得開心、用得安心」，真正實現AI技術的永續信任與安全落地。

整體而言，資安所以後量子密碼、供應鏈合規與AI模型安全三大前瞻技術為核心，致力於推動技術自主、產業升級，為臺灣建構接軌國際的資安韌性護盾，加速邁向數位治理與資安共榮的新時代。