【實錄】2025 金融資安發展論壇：AI、零信任、供應鏈與後量子時代的風險重構

面對 2025 年全新的威脅挑戰，台灣金融業正處於關鍵的轉型期。勒索軟體、憑證竊取、供應鏈滲透與 AI 詐騙等威脅持續升溫。為因應威脅等級提升，資安人舉辦 2025 金融資安發展論壇，匯聚頂尖資安專家與技術夥伴，透過前瞻策略研討、實務經驗分享與創新技術展示，共同探索 AI 世代的資安防護策略，打造新時代金融資安韌性力！

泛金融業資安觀察：四大風險與應對策略

金管會資訊服務處 處長 林裕泰 指出，泛金融生態系因高度互聯而面臨多重資安挑戰。金融業透過 API 與眾多合作夥伴、技術廠商連結，形成綿密的供應鏈關係，但也衍生資安防護缺口。林處長以巴西某服務商案例說明，駭客僅透過購買外部服務商的登入帳號，就竊取巨額金錢，凸顯第三方服務風險的嚴重性。 針對此，林處長就金融資安生態系資安風險，提出應對策略及關注議題。首先是推動零信任架構，特別針對跨機構協作的外部服務商進行嚴格存取管控，建立異常行為的動態偵測機制；其次是必須因應金融上雲趨勢，建立雲端服務的資安組態、日誌監控與分析能量。第三是供應鏈資安管理，建議針對接觸核心系統的廠商進行差異化管理，透過管理面加強規範與技術面檢測等措施控管可能資安風險。最後是後量子密碼準備，面對量子運算威脅，金融業應偕同供應商等生態系夥伴提前部署抗量子加密技術，例如與金融卡、信用卡相關之支付卡產業，需共同配合國際標準進行密碼遷移，確保未來資料傳輸安全。

虛擬資產新規上路 金融機構資安管理面臨三大挑戰

臺灣金融科技協會 副理事長 歐曜瑋 指出，金管會今年正式公布《虛擬資產服務法》草案，台灣虛擬資產產業邁入「登記制」時代。從 2021 年洗錢防制納管至今，VASP 業者數量已從數百家縮減至207家，登記制要求的規範標準已達金融業等級門檻，未來將朝「特許執照」發展。 歐曜瑋強調，金融機構面對加密貨幣支付的最大挑戰在於資產保管安全。傳統架構下，任何 IT 人員都可能透過操作後門竊取無上限資金。目前已有 MPC 多方安全計算、TEE 可信執行環境、零知識證明等成熟技術，確保私鑰資料不暴露於空氣中，全程在硬體內計算。

企業導入區塊鏈金融須具備三大能力：資產保管託管、交易可追溯性與合規驗證。每筆交易需對應實體對象，KYC 身分驗證須與鏈上地址綁定，並建立限額管控與智能合約機制。國際標準方面，建議取得 ISO 27001 資安認證、SOC 2 Type 2 稽核報告，以及會計師事務所的資產驗證證明，確保私鑰保管安全與責任歸屬清晰，降低供應鏈資安風險。

多層次防禦與供應鏈管理成金融資安重點

在關鍵對談中，主持人 永豐金融控股股份有限公司 資安長 李相臣 及與談人 國泰人壽 數據暨人工智慧發展部 副總經理 林佩靜、玉山銀行 資訊安全處 科技安全部 資深副總工程師 崔友經 與 國立陽明交通大學 電機工程學系副教授 游家牧 共同探討新興科技的金融資安合規落實。 永豐金控 李相臣 資安長 指出，台灣金融業面臨嚴峻挑戰，調查顯示全台 99% 金融機構曾遭入侵或受駭。更強調，應參考台積電模式，由金管會與公會聯合要求供應商符合統一資安標準，透過集體力量提升整體防護能力。

玉山銀行 崔友經 資深副總工程師 表示，玉山採用多套符合國際標準的防禦系統，並建立完整框架評估風險。在創新應用上，玉山已對客戶推出使用 LLM技術的數位金融服務，透過人工智慧護欄(Guardrail)及身分驗證等技術提升安全性，並持續進行資安檢測與紅隊演練以確保防禦有效性。針對供應鏈管理，則透過合約條款要求供應商必要安控措施，並保有現場訪視落實度權利。玉山亦為到場開發之供應商人員設立隔離開發環境以防止機敏資料外洩，並以今年上半年某供應商遭受資安攻擊事件為例，要求該供應商需委由第三方專業資安廠商評估並確認其安全性，凸顯事前完善合約規範的必要性。

陽明交大 劉家牧 教授 提醒後量子密碼學議題，量子電腦將使現行 RSA 等加密演算法失效。金融業需考量資料保護期限，若資料需保護十年，應提前五年完成遷移。但後量子演算法金鑰較長、運算時間較久，可能影響金融交易即時性需求，須在安全與效率間取得平衡。值得注意的是，Google 已宣布量子電腦進展，原預估五年的時間可能大幅縮短，且 AI 技術的出現也使得生物特徵辨識面臨失效風險。

國泰人壽 林佩靜 副總經理 指出 Agentic AI 的資安風險，包含 AI 模型本身漏洞、自主性失控造成過度代理，以及外部資料連接的權限管控問題。建議將 AI Agent 視為實習生，給予特定權限與工具，並在流程中設置人工檢核點，透過即時監控與定期稽核降低風險。國泰在設計 AI 系統時，採用最小權限原則，讓每個 Agent 功能獨立，並要求所有流程必須經過人工審核，避免 Agent 自主決策造成無法預期的後果。

AI、零信任與後量子策略

Citrix Asean 資深技術顧問 張碩峯 表示，當前企業面臨多重挑戰：AI 工具使用可能造成資料外洩，量子運算發展對加密機制構成潛在威脅。針對這些挑戰，次世代安全存取平台採用零信任網路存取(ZTNA)架構，提供多因子身分驗證、裝置健康狀態檢查、細緻化權限控管等功能，作為傳統 VPN 的替代方案。平台整合安全服務邊緣(SSE)技術，具備使用者行為基線分析、異常連線偵測、瀏覽器隔離等機制，並已支援後量子密碼(PQC)標準。此外透過數位體驗監控(DEM)功能，管理者可掌握連線品質與使用者體驗狀況，在確保資安防護的同時兼顧系統可用性。 A10 Networks 技術經理 林坤億 指出，AI 機器學習技術建立防禦機制，首先透過自動學習建立流量基準線（Baseline），建議至少學習一週以掌握正常流量週期。系統持續偵測異常流量，一旦超過基準值即啟動防禦。AI 防禦系統採用三層防護策略：第一層透過威脅情資過濾已知惡意來源；第二層運用機器學習分析異常特徵；第三層則是進階的自適應防禦機制。系統會自動產生防禦特徵碼並即時部署到防護設備，實現動態防禦，協助企業有效抵禦 DDoS 威脅。 OpenText 資深技術顧問 李昆龍 強調，零信任架構需掌握三大核心：身分鑑別、存取管理及持續稽核。實務上最大挑戰在於建立「人與資源」的關聯性。AI 技術可強化資安防護，自動偵測異常登入行為並簡化身分審查流程。例如當使用者在非正常時段登入時，系統會提高風險評分，要求額外驗證或主管授權。系統持續收集使用者行為資料，建立完整的身分履歷，從登入、存取、調職到離職全程記錄追蹤，實現「合法且合理」的動態存取控制，有效降低資安風險。 因應金管會要求金融業進行加密資產盤點並擬定量子遷移計畫，Akamai Technologies 資深技術顧問 王明輝 建議企業透過平台工具識別數位資產的後量子加密支援狀況，分析系統間的相依性，評估升級後可能產生的連線影響。實務上建議優先從使用者端到邊緣節點導入，再依原站伺服器負載狀況逐步推進。針對 AI 安全風險，北捷與華航 AI 助理相繼出現提示詞注入情況，反映 AI 模型存在被繞過的風險。王明輝表示，透過後量子加密、AI 防護與零信任三重防線的整合部署，可協助金融業建立更完善的資安防護架構。 隨著 AI 技術普及，網路攻擊手法也更加複雜。Radware 技術顧問 王毓麟 表示，駭客已開始利用 AI 工具降低攻擊門檻。面對 AI 驅動的攻擊，企業必須以 AI 進行防禦。企業可採用能即時學習 DDoS 攻擊特徵的系統，在不解密的情況下分析 TLS 加密流量，並自動發現 API 漏洞與學習業務邏輯。王毓麟強調，企業應運用 AI 縮短事件分析時間，並透過 AI Copilot 取得攻擊故事線與防禦建議。在混合雲環境中，唯有採用單一平台整合地端與雲端防護，才能有效應對新世代 AI 威脅。

AI 時代重構金融零信任與供應鏈存取

面對金管會監管要求日益嚴格、威脅手法不斷演進，企業常面臨人力與預算有限的困境，蓋亞資訊 業務經理 朱怡蓁 分享，Google SecOps 整合 Mandiant 威脅情資與 VirusTotal 資料庫，提供雲端化資安維運平台。傳統地端 SOC 平台受限於儲存空間與效能，SecOps 平台則內建 SOAR 自動化回應機制與 Gemini AI 輔助分析，讓資安人員以自然語言快速查詢威脅事件，無需撰寫程式碼。AI 可自動生成偵測規則與處理劇本，實現跨部門事件分派與協作追蹤，有效減輕人力負擔。朱怡蓁強調，資安防禦需要全公司協同合作，透過自動化平台整合各部門資源，才能有效應對日益複雜的資安威脅。 逸盈科技 首席技術顧問 曾懷慶 指出，傳統資安維運面臨三大挑戰：海量告警淹沒真實威脅、跨產品告警難以關聯，以及熱資料儲存成本持續攀升。可採用解決方案透過雲端整合各類資安設備日誌，在雲端完成告警關聯與收斂後，僅將關鍵資料下放至地端 SIEM，有效降低維運負擔。技術層面包含三大核心：EDR 透過機器學習分析數億惡意程式樣本，精準識別未知威脅；CDR 保護容器與雲端環境，具備 BAS 攻擊驗證功能，協助優先處理可實際利用的漏洞；ITDR 聚焦身分安全，主動偵測 AD 環境中的異常權限提升與橫向移動。整合這些技術後，可大幅提升 SOC 團隊效率。 企業內部機敏檔案管理面臨重大挑戰。京稘科技 業務經理 林啟瑋 指出，隨著資安法規與國際認證標準日益嚴格，企業必須建立完整的檔案存取軌跡稽核機制。系統需記錄使用者的操作細節：在何時、從哪個 IP 位址、對哪台伺服器的哪個檔案進行新增、修改或刪除。透過異常行為偵測機制，當使用者在短時間內大量存取或刪除檔案時，系統可立即發出警示，甚至自動封鎖帳號權限，防止損害擴大。

隨著威脅態勢持續演進，金融資安不再是單點防禦，而是需要整合 AI 技術、零信任機制與供應鏈管理的全方位戰略，唯有持續精進防護能量，才能守護金融產業的穩健發展與客戶信賴。