領先法規要求 TCC成立物聯網資安聯合檢測中心 帶動IoT資安發展

財團法人電信技術中心(TTC)自107年起執行國家發展委員會「亞洲．矽谷-強化物聯網資安防護裝備」計畫，第一期完成物聯網系統層級資安防護評估機制的建立，第二期延續並擴增第一期成果，與桃園市政府經發局合作，偕同國際認證機構UL、中華資安國際股份有限公司及虎頭山創新園區-資安物聯網中心營運團隊（大同世界科技股份有限公司及互聯安睿資通股份有限公司），聯合於虎頭山創新園區成立「物聯網資安聯合檢測中心」，冀望整合多方能量，共同強化智慧產業資安防護能力，提升台灣物聯網產業的國際競爭力。

亞洲．矽谷計畫執行中心人資長闕河鳴表示當初接受國發會的委託時，台灣並沒有相對應的IoT資安檢測標準，因此尋求TTC的幫助，討論制訂相關的標準。TTC董事長吳宗成表示台灣有許多設計生產物聯網設備的廠商，也有許多不錯的應用情境，但缺乏的是統一的平台可以協調打國際市場。

因此TTC召集多家廠商參與，一起建立第二期的物聯網資安聯合檢測中心，也順利爭取到國際安全科學領導機構UL的參與，導入UL IoT安全評等(IoT Security Rating)，以國際上的IoT資安設計準則為基，融合產業標準共識，提供連網產品的資訊安全評估，並透由安全評等，在產品上標示所獲得的分級標誌，協助廠商展示產品的資安能力，亦幫助消費者在選購時能有所依據。

以市場檢驗報告與政府標案規範推動資安認證標章

闕河鳴也明白表示，目前台灣並沒有相關的法規強制要求IoT終端產品必須接受資安認證，UL副總裁暨台灣總經理陳宗弘也表示這是個相當新的議題，目前尚且沒有國家級的法律來強制要求終端設備需通過資安認證，美國現在是加州與奧勒岡州在推動相關的法律。

儘管如此，TCC與NCC是希望通過市場的力量來推動物聯網資安認證標章。國家通訊傳播委員會(NCC)技監羅金賢表示既然法規方面暫時沒有強制要求，就要從兩方面來推動物聯網資安認證標章。

首先，NCC與經濟部達成協議，連同標檢局一起採用物聯網資安認證標章為共同標章，因此廠商開發物聯網終端產品時，可以不必送兩次重複檢驗，協助台灣廠商節省麻煩。另外，NCC將與行政院消費者保護處一起合作，屆時可抽驗市面上的IoT產品，若有缺失則告知廠商改善修正，並定期發表檢驗報告，促使消費者與業界共同重視物聯網終端產品的資安問題。

第二，目前政府正在推動5G基礎建設，與4G相比，5G由於網路結構更為扁平化與公開化，對資安的要求更加嚴苛。因此預計今年7月開始，NCC將要求所有電信業者在建置5G基礎建設時，就必須取得物聯網資安認證標章，這部分對通訊設備的資安認證要求屬於強制性，可以帶動後端系統業者對物聯網資安認證標章的重視。

闕河鳴補充說道，行政院在八大領域基礎設施已經開始導入資安方面的規範，今年將更細緻的規定，針對公立醫院等基礎設施的資安認證將分為ABCD等級，並將資安認證標章列入未來新年度標案的規範要求中。

「對於基礎設施來說，有時個別的終端設備都有取得資安認證，但是連線建置為複雜系統時，往往會產生非預期的漏洞，因此仍然需要物聯網資安聯合檢測中心，針對大型系統本身進行一次資安檢測，」闕河鳴表示：「因此經濟部工業局在發展城鄉計畫時，便要求總預算的7%必須用在資安工作上，由政府在標案規範給予物聯網資安聯合檢測中心實際幫助，等相關檢測能量達到一定規模時，就可以形成產業鏈。」

這對台灣民間廠商來說也是非常有幫助，例如生產智慧床墊的世大福智科技，由於產品包括感測器與後端分析系統，因此主要客戶如醫院等，在採購時均要求提供資安方面的保證。「這對廠商來說相當困擾，因為物聯網裝置或系統在當時並沒有相關的認證可以取得，」闕河鳴說：「後來世大福智科技詢問TTC之後，輔導取得物聯網資安認證標章，順利進入醫療市場。」

TCC副執行長林炫佑表示希望能有更多需要資安認證的系統商來洽詢，與檢測中心一同合作來制訂系統層級的認證標準，帶動更多廠商能夠滿足法規要求，進軍國際市場。