【市場篇】企業需求更明確 DAM進入戰國時代

資料庫行為監控(DAM)顧名思義是針對資料庫的存取行為進行監控與稽核，透過DAM可以發現有權限者的非法存取行為，達到防禦內賊的效果，然而在沒有法規的強制驅動力下，只有少數企業有此需求，可以說DAM是法規驅動的市場。以台灣來說，除了防制資料外洩(DLP)之外，DAM是與個資法有直接相關的解決方案，因此個資法的進度也直接牽動著DAM市場熱度。

玄力科技總經理顏良修指出，台灣DAM市場在2007年就已成型，只是當時企業多在了解產品階段，加上沒有法規驅動力，且當時DAM廠商在行銷時，太過強調稽核的功能，讓很多企業誤以為DAM就是一個稽核工具，而有稽核需求的產業並不多，只有特許行業如金融、電信…等才有，導致DAM市場一直沒有起來，直到去(2012)年個資法正式上路才驅動市場需求。

金融、電信、醫療關注高  主管機關是關鍵

儘管所有行業都必須符合個資法，但也未必各行各業都開始關注DAM，其中關鍵是主管機關的態度。IBM軟體事業處資深技術顧問張寅建表示，2012年初金融業開始關注DAM，主要原因是主管機關金管會開始針對個人資料保護進行查核，因此金融業較為積極，而到了去年10月個資法正式上路後，醫療業也開始重視。麟瑞科技技術經理陳志遠則指出，個資法過後這半年，大多數企業都仍在測試做POC，最近這一兩個月開始真正看到企業下單結案，金融業因為主管機關金管會有明確要求，多半先做DLP，現在則是DAM已開始進行。

除了金融業外，精誠資訊產品經理于子欣提到電信業需求比例也頗高。電信業也是早期就開始評估導入DAM，主要是因為內稽內控需求，透過DAM保護DBA、OP或開發人員。

至於其他行業，政府、學校、電子商務雖然也有部分DAM專案，但比例仍不高。以電子商務市場來說，顏良修認為他們其實是最需要DAM的產業，但由於電子商務業者的基礎資安環境普遍還不完備，再加上之前廠商太強調DAM是稽核工具，這也令EC業者誤以為沒有DAM需求。

企業需求更明確  市場競爭更激烈
隨著市場開始成長，企業也更加清楚自己的需求。庫柏資訊總經理林俊仁觀察，近來評估DAM的使用者比起前兩年已更清楚自己需求是甚麼，是因為內稽內控需求而來看DAM或因為資安需求。同時在評估過程中，也明確了解稽核需要看哪些報表內容。

顏良修分析，金融業對DAM的認知比較明確清楚，但是他們資料庫數量多且架構複雜，為避免失敗，評估時間比較長，而且一次可能只導1~2個DB，電信業也是，通常會分階段導入。從表1中可以看到，金融業與電信業的認知和評估比例皆很高，只是他們的DAM都只導1~2個資料庫而不是全面導入，至於會先導入的DB種類通常是與交易相關或是含有個資的DB。由於金融和電信業是用業務類別來劃分資料庫，所以資料庫數量很多，但是醫療業情況剛好相反，因為醫療業務是以病人為導向，資料庫集中化通常就是在醫療資訊系統(HIS)後面的那一個DB，所以他們只要導入DAM幾乎都是全面導入，這也是認知和survey比例不高，但是導入比例卻超過25%的原因。

表1  各行業DAM導入進度表

  *佈署1個DB者也算入。       資料來源：玄力提供，資安人整理2013/7月