【臺灣資安大會直擊】金管會揭金融資安韌性藍圖最新進展，即將發布金融業PQC遷移指引

金融資安發展藍圖聚焦四大主軸，包括了目標治理、全域防護、生態聯防和堅實韌性。在目標治理上，金管會希望企業公司治理，董事會將資安納入公司治理核心，董事會不要只停留在合規思維，更要從業務目標角度思考安全控管如何配合。也要能參考主管機關政策或同業資安水準，設定企業未來半年、一年的資安目標，作為衡量成效的依據。

去年初，林裕泰看到本土資安廠商一份紅隊演練結果報告，提到舉辦上百場紅隊演練中，過半數演練都發現了共同的AD CS弱點，企業的網域管理員權限，不到幾分鐘就遭到紅隊掌控。

這份報告讓他思考，金融業不只需要分享情資，也需要更多資安實際經驗。今年四月，金管會舉辦了一場長達4天的金融資安交流會FORCE 2026，透過公開徵稿，召集金融機構分享金融資安韌性發展藍圖相關實務經驗，最後集結了40位講師，12場深度解析和1場攻防實戰，超過800人次參與。「這場難得的經驗交流，不是分享應該做什麼，而是實際做了什麼，參考資安發展較快的金融同業經驗，作為自己日後進階目標的參考。」

為了設定目標導向的發展，金管會也正在建立一套可以量測、可以成長的金融韌性成熟度分級評估指標，整合了CRI Cyber Profile的量化指標，正在設計一套依據四大治理主軸的成熟度發展階梯，像是軟體安全開發分級，第一級（L1）是版本控制中心化，第四級（L4）則要達到高度自動化持續合規檢核。或在新興AI治理分級指標上，L1是建立框架和盤點應用，L4則要達到具備偵測AI對抗性攻擊的能力。

「希望金融業者不只符合公會所訂的最低合規標準，而要思考未來可以發展的成熟度階段。」林裕泰表示。

在全域防護上，金管會希望推動金融業資安作業左移，包括了CI/CD部署流程，也希望金融業開始建立SBOM來促進軟體供應鏈的透明化，讓SBOM可以和CVE或KEV等資安弱點資料庫整合，一旦出現新弱點，就可以即時修補。金管會更希望將API安全基準，從Open API延伸到夥伴API，甚至是金融機構的內部API安全管理。

資安漏洞武器化時間只剩９小時，因應AI漏洞風暴的三大對策

林裕泰特別提到CSA、OWASP 等機構聯合在5月1日發布的最新AI資安報告《The “AI Vulnerability Storm”:Building a “Mythos-ready” Security Program 》，報告中指出，因為AI的進步，資安漏洞武器化的時間大幅縮短，一個漏洞遭利用的時間，2018年要花2.3年，2024年縮短到56天，到了2026年，大幅縮短到只剩下9小時，而且是會出現Mythos等級的自動化攻擊。

企業如何因應這樣的AI漏洞風暴？這份報告提出了三個建議，第一是部署AI防禦代理，用AI對抗AI，第二是從修補思維轉向彈性阻止，透過網路分段、零信任架構等來避免AI攻擊快速擴散，縮小爆炸半徑，最後一項是企業要建立漏洞維運VulnOps的機制。

其中第二點建議，正是金管會過去兩年力推的零信任架構，過去是推動導入高風險場域，現在則希望金融業落實，要逐漸將零信任架構導入金融資安基礎規範。

過去兩年，期望企業盤點資源存取途徑，用零信任思維來深化資安防護，尤其在每一道關卡，都要搜集足夠的日誌與事件資料收集，送到SOC平臺監控和判斷。

金管會多年來推動金融業者要從駭客攻擊角度來部署資安防護，累積了不少資安監控規則。從去年到今年，金管會將原本的地端監控機制，延伸到雲端監控機制，讓金融資安監控組態基準（MCB），逐漸納入雲端基礎建設和雲端常用資安設備。

其中一項金管會正在討論的雲地資安範疇是容器環境，也找來相關廠商配合實測，預計今年7月底完成金融機構容器安全監控暨組態基準，將會涵蓋雲地服務業者及容器安全日誌收集等相關監控項目和規則的訂定。

去年金管會推動的金融資安攻防演練中，實測了資安監控組態基準的效果，這套基準可以涵蓋超過9成的演練攻擊手法，像是APT10、APT40、無檔案式攻擊、企業間諜活動攻擊等情境，對整體監控情境有高度完整性。

「金管會推動這些事情不是為了合規，而是為了讓它真正發揮作用。」林裕泰強調：

「目前最迫切的挑戰是AI和後量子密碼遷移。」他強調，AI與AI的戰爭已經發生了，金管會原本今年考慮參考OWASP的GenAI資安專案，發展臺灣金融業可用的資安防護框架，但是AI進步太快了。

像OWASP的GenAI資安專案，幾乎每個月發布一份報告，持續更新指標，有時甚至一個月好幾份。MITRE ATLAS整理的AI攻擊樣態資料，攻擊手法和案例也不斷增加。所以，「如何將安全控制嵌入系統設計流程，是金融業未來要努力的目標。」他強調。如何建構一個環境，可以讓AI幫忙做事，又能夠確保安全的運作，金管會正與相關機構與單位共同試驗中，相關做法更成熟後會對外公布。

Y2Q剩下不到4年，金融業要更早因應PQC遷移

另一個金融業的新興科技挑戰是後量子密碼遷移，根據CSA的Y2Q倒數計時（量子計算具備破解密碼的能力時間表），剩下不到4年的時間。Google更在今年RSA中預告，提早到2029年完成遷移，這意味著Y2Q的時間可能更為縮短。

金融業PQC遷移要面臨不少挑戰，第一個挑戰是，金融服務範圍廣，而且往往不是由單一機構獨立完成，像跨行轉帳就是一個涉及多個機構的跨行交易系統。「不是自己的系統單獨升級就夠，必須配合整套體系的運作才能完成。」林裕泰剖析。另一個挑戰是，金融業追求穩定，遷移過程必須維持服務不中斷。

去年7月開始，金管會啟動「金融業後量子密碼遷移先導計畫」，找來代表性金融機構成立量子先導小組，即將完成「金融業後量子密碼遷移參考指引」。

「不是要金融機構馬上開始遷移，而是要先做好遷移的準備工作。」林裕泰舉例，像是先鎖定高風險資產，來進行加密應用的盤點和風險評估，而不用全面性盤點。他強調：「PQC遷移工作不是一次性的任務，而會先進行混合加密，再過渡到量子加密。」PQC演算法也還沒經過足夠的時間來驗證安全性，日後可能還需要第二次或第三次的遷移。

盤點完成後，金融機構要建立自己的加密演算法清單或控管表，也可以趁機將企業散落各地的加密機制整合，建立加密敏捷性，像是統一管理分散在程式碼中的加密機制。

這份參考指引在策略面，希望加速金融的IT供應商及早投入PQC解決方案，等到金融業啟動遷移作業時有足夠的技術和產品支援，另外在管理，也會提供加密應用盤點和風險評估、排定優先順序的做法，以供金融機構規劃自己的遷移路徑、時程和所需資源。還會從技術面，評估專業人力需求、PQC演算法和產品採購策略、系統資源差異，提供企業人力培訓，汰換與擴充資訊訓設備的參考。金管會也會推動典範試點，讓更多金融同業參考。

在軟體供應鏈資安上，金管會希望資安標準可以延伸到委外供應商端，因此也計畫要訂定供應商分級和委外資安責任的參考範本，參考了關鍵電信業者的做法。未來也會鼓勵關鍵供應商分享資安情資和協作，例如聯合資安演練等。

他指出：「希望供應商建立一個觀念，落實資安不是成本，而是轉錢的能力。」資安做得越好，可以接到更多標案和業績，資安可以視為利潤，而非成本，這是資通訊業供應商必須有的認知。

在情資分享上，F-ISAC和金融機構的情資分享已有很好的效果，下一步希望擴大到非金融機構情資分享和國際合作。金融資安交流會中，也找來情資貢獻度最高的前三名金融業者分享經驗。他們不只是搜集情資，更要化為實際的行動。他們搜集到一份情資，不只用來檢視自己的防護、偵測、阻擋能力，也將整理後的情資回饋F-ISAC，分享給其他成員，形成一個良性循環。

從去年開始，金管會特別舉辦攻防演練體驗營，像在四月金融資安交流會中就有一場。讓沒有足夠人力自己演練的中小型金融機構，可以透過體驗營，來了解駭客怎麼攻擊，自己又要如何防護。

林裕泰提醒：「攻防演練只是一種過程，發現問題不是目的，而是要在演練過程裡，同步檢查資安防禦環境。一個單一事件，可能是造成系統性失靈的環節。」

現在金融業機構的多層次備援，不會採取和正式環境1比1的備援資源，但在資源不足的環境下，是否可以應付正常的流量。多層次備援機制也要從韌性角度來思考，資源不足時，要優先確保哪些關鍵金融服務的持續運作，演練SOP是否也納入這些韌性考量。

林裕泰也分享了他在金融資安交流會中得到的體會，從許多資安典範的經驗中，他歸納，資安落實原則，就是「堅持最小權限、追根究底、日常落實」。面對AI新興科技的挑戰，IT與資安單位更要率先擁抱，成為最了解，也最能掌握AI的人，將自己視為實驗平臺，才會得到深刻的體驗，日後更有能力評估業務單位的AI發展。