【2013資安趨勢】2013法規遵循下的資安趨勢

每到年底總不能免俗的來個回顧與展望，看看2012年資安市場的動向及2013年可能的發展趨勢。為了瞭解資安廠商對2012與2013年市場的看法，《資安人》雜誌設計了一份問卷，廣發予國內資安廠商，範圍包括原廠、代理商、經銷商、系統整合業者、與資安服務供應商，問卷結果如文末圖表所示。同時抽樣採訪其中部份資安業者，進一步了解對其對資安市場的看法。

資安市場規模：部份業者在2012微幅衰退
首先針對2012與2013年資安市場規模，半數左右的資安廠商認為將會持平發展，不過有23%的廠商表示，2012年營收與2011年相比呈現衰退，但只有11%的廠商不看好2013資安市場規模。

趨勢科技台灣及香港區總經理洪偉淦指出，個資法商機反應在政策、金融與服務業上，然而經濟不景氣、企業刪減資安預算，兩相抵消之下，造成2012年資安市場表現與去年差異不大。

對此，精誠資訊資安暨網路產品業務處處長李文謙也有相同看法，他提到，原本個資法正式上路應該會帶動2012資安市場成長，然而上路日期延宕到10月1日，所以許多企業都在觀望中，明年才會開始編列預算，再加上市場競爭激烈，很多資安原廠看好個資法效應，使得過去1~2年有許多新的代理商或是新產品跨入台灣市場，另外還有一些新的系統整合商也投入這塊領域，甚至成立資安部門、親自站在第一線服務客戶，使得資安市場競爭更形激烈。

對今年資安市場的表現，Check Point台灣區總經理馬勝彰認為比去年而言是呈現負面小跌的情況，其主因當然也是國內經濟情況表現不佳所導致。因為大環境的不佳，使得企業在網路機房的基礎建設上比較不敢投資，而像防火牆這類常被視為網路架構一部分的資安設備自然表現就會下滑。

不過，敦陽科技IT管理技術開發處處長李欣陽認為，2012年資安市場呈現向上成長的態勢，主因在於：個資法及攻擊事件增多帶動市場需求，有很多客戶因為遭遇攻擊事件，請求資安廠商協助處理，引發後續對資安解決方案或服務的需求。

另外，懇懋科技副總經理涂睿珅也指出，2012比起去年有超過10%的成長，包括受惠於政府市場標案結餘款的釋出，以及第四季由醫學中心龍頭醫院帶動起資料庫行為監控(DAM)的評估熱潮，金融業也是。台灣IBM技術長暨軟體事業處技術副總林育震也認為，帶動2012年市場成長的以DAM、日誌管理／SIEM為主要原因，包括資料庫遮罩也有不錯表現。

至於對明年資安市場的表現，部份資安廠商表示，因應個資法通過已經有客戶在編列預算，預計明年導入相關解決方案，因此看好明年的發展。不過，中華電信資訊處資安服務科科長謝東明卻不這麼認為，2013年受到美國財政及歐債危機，全球景氣並不會好轉，再加上個資法若出現第1個集體訴訟案例，至少要1年才會有結果，因此個資法效應不會那麼快浮現，從日本經驗，法規正式上路後3年才真正反應到資安市場上。

馬勝彰同樣抱持負面小跌的看法，一方面當然還是因為國內經濟短期難有明顯的成長表現。再者，雖然在廠商的推廣教育下，企業用戶已意識到個資法上路與APT攻擊所可能帶來的影響，但在大環境不佳加上個資法尚未有具體判例提出，台灣企業主在未面臨重大立即風險的情況下，鮮少會對資安採取預防性的措施，所以整體資安市場明年仍呈現小幅下滑的預測。

另外，馬勝彰提到一個值得注意的現象是，可能受到一般民間企業刪減資安預算的影響所致，政府今年大型專案的競爭相當激烈；標案的規格鬆，底價也較低，以吸引更多的廠商甚至是同廠商不同代理商競標，使得標案的價格都殺的相當慘烈。即使按標案價格，採購單位也會要求以優規結案或是要求更多的贈品造成標案成本的增加。另一個指標的電信產業，雖然總金額不少，但因為一次採購的量大所以單價上也會被壓低，再加上電信業者要求的服務也多，使得整體而言能帶來的利潤並不如想像中的好。所以基本上台灣的資安業者即使今年有一定的帳面營收，也可能是為了要讓公司維持基本的資金流動與營運，或是因為策略性的專案考量所接下的案子，不一定能代表廠商的實際獲利。

各產業的資安現況：金融業仍是最大採購者
在2012主要銷售對象上，政府和金融業所占比例最高約20%，至於2013年則以金融業比例最高為32%。這是因為金融業通常較重視資安，同時也有較高的IT預算。李文謙指出，金融業重視資料保護，除了受到個資法正式上路的影響，主管機關金管會也有嚴格要求，促使整個金融產業普遍重視資料保護。

至於政府公家機構則是因為今年的資安預算已在去年編列完成，所以較不會受當下經濟情況所影響，加上要扮演產業領頭羊的角色，所以相對會有較高的資安採購支出。

另外，還有一些傳統產業及零售業者以前比較不重視資訊安全，但是在今年開始也有些許投資，他們在個資法上路後，開始思考該怎麼保護自己，至於電信業者則著重在網路基礎建設的安全，如：IPS、防火牆…等。而製造業受到不景氣的衝擊最深，導致資安預算大幅刪減，再加上手中沒有太多個人資料，個資法正式上路的衝擊相對較小，所以在2012年幾乎沒有看到太多新的資安投資，就連舊維護合約在續約時也要求減價、降低成本。

最被資安廠商看好的金融業，究竟需求哪些解決方案？李欣陽指出，以往金融業重視流程，對技術層面趨於保守，但過去1年來也逐漸明白資安事件不能單靠管理流程來解決，所以現在對新的解決方案接受度比較高，如：WAF、資料保護、滲透測試…等。亞利安總經理范梓芳表示，已經聽到許多金融業者編列預算要採購DAM，林育震認為，DAM藉由存取行為pattern的分析，對具有特殊權限的使用者如資料庫管理師可達監控效果。以目前金融業來說，多數對資料中心內已經有相當好的控管，接著便是要注意員工用戶端設備的DLP。

2013年技術觀察：資料保護相關解決方案是重點
至於未來哪些資安解決方案最有可能成長（圖1）？比例最高的前3名分別是防制資料外洩、行動裝置管理與安全、日誌管理/SIEM，另外個資管理制度輔導與驗證、資料庫加密/行為監控、防禦APT攻擊解決方案則並列第4，在這6個解決方案裡至少有4個與個資法相關。

圖一、未來最有可能成長的資安解決方案

另外，馬勝彰認為，因應企業資安預算刪減的情況，企業會開始偏好選擇像是次世代防火牆這類的整合型的資安閘道設備，雖然在當下的支出可能較高，但從2、3年的長期評估來看是有助於企業縮減資安建置成本的。目前，市場上也有越來越多這種整合型設備，像是許多安全閘道器都已可辨識到第七層封包（具備部份WAF功能），又如有些應用程式傳遞(ADC)廠商的產品，不只可以做到伺服器負載平衡、WAF，還能提供對第七層DDoS的防護。

最後，逸盈與McAfee都看好雲端資安服務(Security as a Service)，McAfee台灣總經理楊贊弘表示，以大型國際企業來說，建置混合雲的IT架構才能滿足需求，因為企業有大量員工時常在海外各地出差，如果所有IT服務都必須連線回台灣的系統，將受限於網路頻寬與速度。因此當使用者在本地的時候，靠自建的防禦系統與裝置提供防護，當使用者在海外時，則有雲端資安服務可即時保護，包括雲端防毒、雲端郵件防護等。

總結來說，2012年資安市場受到經濟表現不如預期，出口持續衰退，景氣燈號連10藍...等大環境因素影響，許多企業紛紛刪減IT預算來樽節開支，使得資安廠商也面臨嚴峻的挑戰，再加上個資法上路太晚、企業來不及編列預算，使得資安市場表現持平，然而2013資安廠商仍看好個資法通過的效應，認為將會出現一波對資料保護與舉證的需求，從而帶動整體市場成長，接下來我們將分別從個資法、資安攻擊趨勢、及新興IT應用等3個面向，分別探討其在2013年的發展趨勢。