謝至恩隨著人工智慧 (AI) 技術從輔助工具轉向自主代理 (AI Agents),企業資安邊界正面臨前所未有的擴張。企業身分安全領導廠商 SailPoint 於本週發布 2025 年度《The Horizons of Identity Security》報告,SailPoint 台港澳總經理 Simon Tai 在媒體活動中直指核心趨勢:身分安全已不再僅是後台的帳號控管工具,而是企業資安技術中「投資報酬率 (ROI)」最高的領域。他更指出,隨著 AI 代理大舉進入企業環境,身分管理的成熟度將成為企業競爭力的關鍵分水嶺。
根據 SailPoint 針對全球企業的調查顯示,儘管身分安全的重要性與日俱增,但企業間的「貧富差距」卻正在擴大。報告指出,目前仍有高達 63% 的企業停留在身分安全成熟度的第一、二階段,這些企業多半依賴手動流程處理帳號權限,不僅效率低落,更難以應對複雜的資安威脅。
相對地,僅有約 10% 的領先企業進入了成熟的第四、五階段。這些先行者透過導入 AI 驅動的身分治理,不僅能比一般企業快上 4 倍的速度部署進階功能,更能透過自動化偵測與回應,有效降低資安風險。
本文目錄
新挑戰:非人類身分的爆發性增長
「我們首先要把所有的身分,無論是員工、第三方人員、機器,或是現在最熱門的 AI 代理 (AI Agent),全部放在同一個平台來管。」Simon Tai 在簡報中強調。
2025 年的關鍵轉折點在於「非人類身分」的崛起。過去企業只需管理員工帳號,後來加入了供應鏈承包商與機器人 (Bot),而現在則是擁有自主決策能力的 AI 代理。 Simon Tai 指出,AI 代理在企業內部可能需要存取人資系統、讀取敏感資料,其權限管理邏輯應比照人類員工,需具備職責分離 (Segregation of Duties, SoD) 與最小權限原則。例如,一個負責讀取資料的 AI 代理,不應同時擁有修改核心資料庫的權限。
台灣市場觀察:M 型化發展與決策轉型
針對台灣與港澳市場的觀察,Simon Tai 在訪談中透露了一個有趣的現象:在地企業的身分安全成熟度呈現極端的「M 型化」分布。部分企業仍停留在基礎的人工管理階段,但也有不少高科技或金融與轉型積極的企業,已直接跳級至第四、五階段,利用 AI 技術進行精準的權限治理。
此外,資安採購的決策者也出現變動。 Simon Tai 觀察到,過去主要由資訊長或資安長主導,但隨著企業推動數位轉型,越來越多擁有「數位轉型 (Digital Transformation)」職銜的高階主管開始介入決策。這意味著身分安全已從單純的防禦工具,轉變為驅動業務敏捷性與生產力的核心引擎。
擺脫「全有全無」:分級治理成解方
面對成千上萬的應用程式 (App) 與 SaaS 服務,許多 IT 部門光是思考如何介接就感到頭痛。對此,SailPoint 提出了更務實的「分級治理」概念:
- 深度治理 (Deep Governance): 針對關鍵核心系統 (如 ERP 、 HR 系統),實施完整的生命週期管理與定期存取審查。
- 快速治理 (Quick Governance): 針對風險較低的應用,僅需做到資料介接與基本審查,不必追求一步到位的深度整合。
這種策略能協助企業在資源有限的情況下,優先清理資料並建立自動化流程。報告資料佐證,優先進行資料清理 (Data Cleaning) 的組織,其效率可提升 1.6 倍。
展望未來:身分、資料與安全的統一戰線
總結 2025 年趨勢,Simon Tai 認為「身分 + 資料 + 安全」的三重奏將是未來主旋律。隨著企業採用 Next Gen PAM(次世代特權存取管理)與動態授權技術,未來的資安防護將不再是靜態的守門員,而是能根據即時風險動態調整權限的智慧中樞。
對於尚未起步的企業,Simon Tai 建議:「技術永遠可以解決問題,最大的挑戰還是人與流程。」從基礎的資料清理做起,並建立自動化的帳號生命週期管理,將是跨越成熟度鴻溝的第一步。