為什麼現在大家都在談零信任?
傳統城堡式防禦曾經夠用——但企業環境在過去十年發生了根本性的改變。了解問題才能說服客戶。
傳統防禦的邏輯
2000 年代初期,企業架構很單純:員工在公司上班、系統在機房、資料在內部伺服器。只要守好公司網路邊界就算安全,這就是「城堡式防禦」。
為什麼現在失效?
過去十年,企業環境發生了根本性改變。以前「守好公司大門」基本上夠用,因為人、設備、資料、系統都在公司範圍內。現在同樣的東西可能一半在公司內、一半在外面,傳統邊界防禦出現大量管不到的死角。
| 面向 | 以前 | 現在 |
|---|---|---|
| 人 | 固定在辦公室上班 | 混合辦公、遠距、出差 |
| 系統 | 全部在自己的機房 | 地端機房 + AWS / Azure / GCP 並存 |
| 設備 | 公司配發、統一管理 | 公司電腦 + 員工自備筆電、手機、平板 |
| 資料 | 存在內部伺服器 | 地端 + M365 / Google Drive 並存 |
| 應用 | 地端部署 | 地端系統 + SaaS 訂閱制並存 |
很多台灣中型企業(300~1000人)的 IT 部門只有 2~5 人,同時管理地端機房 + 雲端 + 遠距工作,根本沒有能力做精細的網路邊界控管。
零信任的核心觀念
NIST SP 800-207 提出零信任架構的核心原則:
零信任認為:
- 內網不等於安全
- 用公司電腦不等於安全
- 透過 VPN 連進來不等於安全
- 每一次存取,都要重新驗證身份、設備、情境
零信任不是一個產品,而是一個設計哲學。它的目標是:就算攻擊者進到內網,也移動不了、拿不到東西。
NIST Zero Trust 架構
零信任把保護範圍切成五大面向,業務拜訪前先搞清楚客戶在哪個面向有缺口。
U · D · A · D · N
User · Device · Application · Data · Network
1. User(使用者)
- 誰在存取?員工、承包商、委外廠商?
- 有沒有做 MFA(多因素驗證)?
- 帳號是否有異常登入行為?
「你們現在怎麼驗證員工身份?只有帳號密碼嗎?如果員工密碼被釣魚攻擊偷走,你們有辦法偵測到嗎?」
2. Device(設備)
- 這台電腦是公司發的還是自己的?
- 有沒有安裝 EDR?
- 系統有沒有更新?有沒有加密?
「員工如果用自己的筆電連到公司系統,你們有辦法知道那台電腦有沒有中毒嗎?」
3. Application(應用程式)
- 只給這個人需要的應用程式存取,不給整個內網
- 應用程式本身有沒有漏洞?
「委外廠商連進來維護系統的時候,他們能看到哪些東西?只有他負責的系統,還是整個內網?」
4. Data(資料)
- 資料分類:機密、一般、公開
- 誰能看什麼?能不能下載?能不能外傳?
「有沒有擔心過員工離職前把客戶資料帶走?你們有辦法稽核嗎?」
5. Network(網路)
- 流量有沒有加密?
- 有沒有做 micro-segmentation(微分割)?
- 東西向流量(內網互相存取)有沒有管控?
政府零信任三階段
行政院資安處自 2022 起推動,要求各機關於 2024~2026 年完成三階段建置。公部門客戶最強的採購驅動力。
政府推動背景
行政院資安處自 2022 年起推動「政府零信任網路架構」,要求各機關於 2024~2026 年完成三階段建置。這對公部門客戶是非常強力的採購驅動力——不做會被稽查。
三階段詳解
Identity 身分識別 — 確認「你是誰」
- 導入 MFA(多因素驗證)
- 建立 IdP(身份提供者)
- SSO(單一登入)整合各系統
台灣常見方案:Azure AD / Okta / Ping Identity
「你們機關現在登入系統有幾個帳號密碼?有沒有統一管理?」
Device 設備信任 — 確認「你用什麼設備」
- MDM(行動裝置管理)
- EDR(端點偵測與回應)
- Device Posture Check(設備健康度檢查)
台灣常見方案:Intune + SentinelOne / CrowdStrike
「現在有辦法知道哪些設備在存取你們的系統嗎?有沒有私自安裝的設備?」
Trust Access 動態存取控制 — 根據身份 + 設備 + 情境動態決定存取權限
- ZTNA 取代 VPN
- SASE 整合上網安全
台灣常見方案:Netskope、Zscaler、Palo Alto Prisma Access、Cloudflare One、Akamai EAA、Fortinet FortiSASE、Cato Networks、Versa Networks
「現在員工遠端連線還是用 VPN 嗎?有沒有遇過 VPN 帳號共用或帳號借用的問題?」
「第一階段 Identity 的建置其實可以用既有的 Microsoft 授權開始,先符合行政院要求,第二三階段再規劃。要不要先評估你們現在的授權有沒有涵蓋?」
VPN Replacement
VPN 有三個深層問題——不是說它做不到,而是實務上根本沒有持續維護。ZTNA 才能從根本解決。
問題一:存取控制的實務落差
現代 VPN 技術上確實支援 RBAC(基於角色的存取控制),可以針對不同人員設定能存取的資源範圍。
但現實情況是:
- 大多數台灣中小企業部署 VPN 時,沒有做精細的 RBAC 設定
- 帳號共用情況普遍,一組帳號多人使用,精細管控形同虛設
- 隨著時間過去,設定越來越混亂、越來越寬鬆
- IT 人力不足,沒有人定期審查 VPN 存取規則
「你們 VPN 有沒有針對不同人員設定存取範圍?設定是誰在維護?上次審查是什麼時候?」
(多數客戶說很久以前)→「這就是問題所在。不是 VPN 做不到,而是實務上很難持續維護。ZTNA 的設計讓這件事變得更容易管理。」
問題二:橫向移動(Lateral Movement)
即使 VPN 有設定 RBAC,攻擊者取得帳號後仍以「該帳號的身份」進入。備份系統、NAS、舊系統常未被納入 RBAC 規則,預設可以存取。
製造業 ERP 系統被勒索,事後追查是協力廠商 VPN 帳號被釣魚取得,攻擊者利用該帳號橫向移動攻擊備份系統。
問題三:VPN 設備本身是攻擊目標
| 廠牌 | CVE | CVSS | 說明 |
|---|---|---|---|
| Fortinet FortiGate | CVE-2023-27997 | 9.8 | 大量台灣企業受影響 |
| Palo Alto GlobalProtect | CVE-2024-3400 | 10.0 | 已被 APT 組織利用 |
| Ivanti Connect Secure | 2024 零時差 | 高危 | 包含政府機關受害 |
| Cisco ASA | 多次高危 | 高危 | 持續有新漏洞 |
「你們用的 VPN 是哪個廠牌?有沒有追蹤最近的漏洞公告?這兩年 VPN 設備本身變成主要攻擊目標,很多客戶開始評估替換方案。」
ZTNA vs VPN 核心差異
| 面向 | 傳統 VPN | ZTNA |
|---|---|---|
| 存取單位 | 網路層(IP) | 應用程式層 |
| 預設行為 | 連線後預設可存取 | 預設拒絕,明確授權 |
| 持續驗證 | 連線時驗證一次 | 每次存取持續驗證 |
| 橫向移動風險 | 較高 | 大幅降低 |
| 設備漏洞風險 | 有(硬體設備) | 低(雲端架構) |
| 管理複雜度 | 隨時間增加 | 集中化管理 |
Objection Handling
「我理解,很多客戶在沒有事故之前都這樣覺得。我想問一下,你們 VPN 的存取規則上次是什麼時候審查的?有沒有委外廠商共用帳號的情況?」
「ZTNA 的部署不用動現有的網路架構。只需要在內部伺服器旁邊裝一個 Connector,員工端安裝 Agent。可以先針對委外廠商的存取做 pilot,不影響現有員工,一週內就能看到成效。」
上網行為管理 SWG
這個需求大多數客戶不是完全空白——他們通常已經有防火牆授權在做部分管控。你的任務是找出他們管不到的死角,而不是否定他們現有的投資。
先承認:防火牆加授權,確實做得到
現代的 NGFW(次世代防火牆)搭配安全授權,功能其實相當完整:
客戶說「我們已經有防火牆在做 Web Filter」,這句話不是藉口,是事實。不要急著否定,而是問:「這套設定涵蓋的是哪些人、哪些地方?」
但這套架構有三個結構性的死角
防火牆做 SWG 的核心限制,不是功能不夠,而是架構上管不到的地方:
覆蓋範圍的缺口:管得到辦公室,管不到人
防火牆的管控只對流量經過它的人有效。員工在家、在咖啡廳、出差,流量完全不走防火牆,所有設定形同虛設。混合辦公普及後,這個缺口越來越大。
「你們員工在家或出差的時候,上網行為有辦法管控嗎?還是只有在辦公室才有效?」
SSL Inspection 的效能代價
解密 HTTPS 流量非常耗費運算資源。很多企業加購了授權,但實際上沒有全開,或只對特定流量啟用——因為一旦全開,防火牆效能就會明顯下降,甚至影響正常業務。結果就是加密流量幾乎沒有被真正檢查。
「你們有沒有開 SSL Inspection?現在 HTTPS 流量大概佔所有流量的 80% 以上,如果沒有解密,防火牆只能看到加密的黑盒子。」
AI 工具是防火牆設計時沒想到的場景
傳統防火牆的 Web Filter 是以「網址黑名單」和「流量類別」為邏輯,它可以封鎖 ChatGPT 這個網站,但沒辦法判斷你在 ChatGPT 上貼了什麼內容。允許使用 AI 工具、但管控不能上傳的內容,這是防火牆層面做不到的細緻度。
「你們有沒有想過:允許員工用 ChatGPT 提升效率,但同時確保他們不會把合約或客戶資料貼進去?防火牆可以封鎖整個網站,但沒辦法做到這種粒度的管控。」
SASE SWG 填補的是什麼?
SASE SWG 不是要取代防火牆,而是補上它管不到的地方:
| 場景 | 防火牆 + 授權 | SASE SWG |
|---|---|---|
| 辦公室員工 | ✅ 完整管控 | ✅ 完整管控 |
| 居家 / 出差員工 | ❌ 流量不過防火牆 | ✅ 就近連雲端節點,全程管控 |
| SSL Inspection | ⚠️ 理論上可以,但效能代價高,通常沒有全開 | ✅ 雲端運算,無效能瓶頸,全量解密 |
| AI 工具內容管控 | ❌ 只能封鎖整個網站 | ✅ 可管控貼上的內容,允許使用但禁止洩密 |
| 硬體維護 | ⚠️ 授權到期要續約,設備有汰換週期 | ✅ 無需硬體,永遠用最新版本 |
傳統 Proxy vs SASE SWG
仍在使用傳統 Proxy 的企業,缺口會更大——Proxy 連防火牆加授權那些功能都沒有:
| 問題 | 傳統 Proxy | SASE SWG |
|---|---|---|
| 員工在家工作 | 繞過 Proxy,完全無法管控 | 就近連雲端節點,全程管控 |
| HTTPS 加密流量 | 通常看不到內容,只能靠網址黑名單 | TLS Inspection 完整解密,看到內容 |
| 硬體維護 | 需要維護地端設備,有汰換週期 | 無需硬體,永遠是最新版本 |
| AI 工具管控 | 只能封鎖整個網站,無法看內容 | 可辨識上傳的內容,允許使用但阻擋洩密 |
Objection Handling
「對,FortiGate 的 Web Filter 在辦公室確實夠用。我想多了解一下——你們員工在家或出差的時候,流量有沒有繞回辦公室過 FortiGate?如果沒有,那段時間的上網行為基本上是空白的。另外,SSL Inspection 有沒有全開?」
(大多數客戶的答案是:在家流量沒有強制走防火牆、SSL Inspection 沒有全開。)→ 這時候再說 SASE SWG 補的是哪個缺口,說服力會強很多。
「可以做一部分。但有一件事加授權解決不了:架構問題。防火牆放在公司裡,管得到進出辦公室的流量,管不到在外面的人。這不是授權的問題,是設計邏輯的問題——除非把所有流量強制繞回公司再出去,但這樣速度很慢,而且維護成本很高。」
DLP 資料外洩防護
台灣企業最常見的外洩管道,以及 SASE DLP 如何細緻辨識並攔截。
台灣最常見的外洩管道
員工離職帶走資料:客戶名單、設計圖、原始碼透過 Gmail 或 Google Drive 帶走
ChatGPT 洩密:員工把合約、財報草稿、客戶資料貼進 AI 工具
誤寄郵件:把含有個資的 Excel 誤寄給外部人員
雲端儲存設定錯誤:S3 bucket 設為公開
SASE DLP 四大防護情境
封鎖 + 通知 IT + 記錄
封鎖 + 警告員工
隔離郵件,請主管審核
地端 Mail Server 的補充
如果企業使用地端 Mail Server(如 Exchange On-Premises),Email 流量不會經過 SASE 節點,SASE DLP 無法掃描 Email 內容。這種情況需要搭配地端 DLP 方案(Symantec DLP / Forcepoint DLP / Trellix DLP)。
業務判斷問法:「請問你們的 Mail Server 是地端的還是雲端的?」
Objection Handling
「請問是哪一套?主要管控的是哪些管道?有沒有辦法看到員工貼了什麼進 ChatGPT?」
(90% 的客戶說沒有辦法)→「對,這是近兩年的新需求,傳統 DLP 當初設計的時候 AI 還沒這麼普及,所以這塊有缺口。」
「萬一客戶個資外洩,稽查機關第一個問的就是『你們有沒有部署 DLP』。現在部署,是未來被查的時候的保護傘。」
RBI 遠端瀏覽器隔離
Remote Browser Isolation:危險的程式碼在雲端執行,只傳畫面給你——就像透過監視器看炸彈爆炸,炸彈傷不到你。
核心概念
- 危險網站
- 網頁程式碼下載到使用者電腦
- 在電腦上執行
- → 中毒
- 危險網站
- 網頁程式碼在雲端執行
- 只傳送畫面給使用者
- → 電腦安全
高風險人員——最優先導入對象
特殊應用情境
外部廠商 / 臨時人員遠端存取
承包商需要存取公司系統,但不適合在他們的設備上安裝公司 Agent。RBI 讓對方透過瀏覽器安全存取,公司資料完全不會落到對方的設備,也不需要管控外部設備的安全狀態。
BYOD 自帶設備場景
員工用個人電腦或手機連公司系統,公司無法強制管控設備安全。RBI 把公司應用的顯示層和個人設備完全隔開——員工能看到畫面,但資料不會存到個人設備上,下載、截圖也可以被管控。
可疑連結安全瀏覽
收到來路不明的郵件連結,不確定是否安全。在 RBI 模式下開啟,即使是惡意網頁也在雲端執行,惡意程式根本到不了本地電腦。這讓員工可以放心確認連結內容,而不是只能選擇「要開還是不開」。
資安研究 / 威脅分析
資安團隊需要主動瀏覽惡意網站、分析釣魚頁面。RBI 提供完整隔離的安全沙盒,讓分析人員能直接「進入」惡意環境,而不必承擔感染實體設備的風險。
台灣高優先導入產業
Objection Handling
「以前的 RBI 確實有延遲問題,現在主要廠商的節點都在亞太區,台灣用戶延遲很低。更重要的是,RBI 通常只針對特定使用者群組或高風險網站啟用,不是所有人瀏覽所有網站都走 RBI——體感上大多數員工感覺不到差異。」
「釣魚攻擊最有效的原因,就是目標在點擊的當下完全不知道那是釣魚信。財務人員收到一封偽裝成合作廠商的付款確認信,他不會覺得自己需要 RBI——但點下去之後就晚了。」
AI Security
2025 年台灣企業最熱門議題:員工在用什麼 AI?貼了什麼進去?老闆怎麼管?
2025 年台灣企業的 AI 焦慮
「我知道員工在用 ChatGPT,但我不知道他們貼了什麼進去。」
「老闆要求不能讓員工用 AI 工具,但我根本封不住,員工用手機就繞過去了。」
「董事會問我 AI 風險怎麼管,我不知道怎麼回答。」
兩大核心風險
風險 1:Prompt 洩密——員工主動把資料送進 AI
這是目前最普遍的風險。員工在使用 AI 提升效率的過程中,往往沒有意識到自己在洩密:
- 把合約草稿貼進 ChatGPT 問「這樣寫 OK 嗎?」
- 把財報數字貼進 AI 說「幫我做成簡報」
- 把原始碼送給 AI 程式助理做 Debug 或補全
- 把客戶資料貼進 AI 問「幫我分類整理這份名單」
員工不是故意洩密,他們只是在「用 AI 工作」。這正是問題所在——沒有人知道自己在洩密,也沒有記錄可以事後稽查。
風險 2:Shadow AI——你根本不知道員工在用什麼
AI 工具已經爆炸性成長,遠不只是 ChatGPT。可以分三類來理解:
對話型 AI(最直接的資料洩露管道)
國際主流:ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity
中國系工具:DeepSeek、Kimi、文心一言(ERNIE Bot)、通義千問——這類工具資料可能傳輸到中國伺服器,台灣政府及許多企業已明令限制。
「你們有明文規定禁止用 DeepSeek 嗎?就算禁止,有辦法確認員工用手機沒在用嗎?」
嵌入式 AI(員工以為在用熟悉的工具)
Notion AI、Grammarly、Canva AI、Figma AI、各種瀏覽器 AI 外掛——這些幾乎無法靠「封鎖網站」管控,因為它們就藏在員工每天使用的工具裡,資料在員工不知情的情況下就被送進 AI 引擎處理。
開發者專用的 AI(研發型企業最隱性的洩露)
GitHub Copilot、Cursor、Tabnine、Codeium——工程師在開發時,AI 程式碼助理會把前後文的程式碼送出去做補全,這意味著公司的原始碼、資料庫結構、API 金鑰可能都在悄悄外傳,而且完全沒有警示。
2025 年升級版威脅:AI Agent
過去的問題是「員工貼資料給 AI」。AI Agent 把這個問題升了一個層次:
AI Agent 不只是問答,它會主動行動。它可以自主瀏覽網頁、呼叫 API、操作系統、寄發郵件、串接資料庫——而且是以「有授權的身份」在做這些事。
SASE SWG 管的是員工透過瀏覽器使用 AI 工具的行為,但 AI Agent 的流量通常走 API 呼叫,不經過瀏覽器,SWG 管不到這一層。
若企業自行開發 AI 應用、或部署 AI Agent 串接內部系統,需要另外導入 AI Gateway,在 API 層級做:
- 管控哪些 AI 模型可以被呼叫(允許用 GPT-4o,禁止用 DeepSeek API)
- 掃描送出的 Prompt 是否含敏感資料,在抵達 AI 服務前攔截
- 記錄每一次 API 呼叫的輸入輸出,供事後稽查
- 控制每個部門或員工的 Token 用量與費用
常見方案:Cloudflare AI Gateway、Apigee、AWS API Gateway + Guardrails,或各 SASE 廠商新推出的 AI Security 模組。
「你們有沒有員工在試用 AI Agent 幫忙自動化工作?如果有,那個 Agent 連接了哪些公司系統?誰審核了它的存取權限?如果 Agent 被入侵,它能拿到什麼資料?」
台灣市場特殊需求:AI 工具管控三種模式
保守型企業、傳產、部分金融機構
「你們說要封鎖 ChatGPT,但員工用手機就繞過去了。SASE 可以做到連員工手機流量也管控,包含 Agent 或 DNS-level 管控。」
可以用,但不能貼機密資料
「我們可以設定:允許用 ChatGPT,但禁止上傳含特定關鍵字的內容。效率跟安全可以兼顧。」
允許使用,記錄所有行為供事後查核
「所有 AI 使用行為都有記錄,定期出報告給管理層,哪個部門用了什麼、有沒有上傳敏感資料。」
情境深度說明
7 大銷售情境,每個情境都有:痛點問法 → 常見現狀 → 解決方案 → 成交話術。
第三方廠商與供應商存取
💬 痛點問法
- 「你們有外部廠商或供應商需要遠端存取你們的系統嗎?」
- 「他們怎麼連進來?帳號是他們自己的還是你們公司給的?」
- 「如果有十家廠商同時連進來,你有辦法看到他們各自在做什麼嗎?」
- 「廠商員工離職了,帳號有沒有跟著停用?」
🔴 常見現狀痛點
- 給廠商一組 VPN 帳號,多人共用,無法追蹤是誰在操作
- 廠商連進來後可以存取的範圍遠超過實際需要的
- 廠商合約結束,帳號沒有即時停用
- 無法稽核外部人員做了哪些操作,出事找不到責任歸屬
✅ ZTNA 解決方案
- 每家廠商、每個人員 → 獨立帳號,不共用
- 廠商 A 只能存取 ERP Server,供應商 B 只能存取訂單查詢介面
- 所有操作全程記錄,可供事後稽查
- 合約結束或人員異動 → 一鍵停用,即時生效
「你們有做過外部廠商存取的稽核嗎?如果明天發生資安事件,你知道是哪家廠商、哪個人、在什麼時間、做了什麼操作嗎?」
「ZTNA 的使用者端跟 VPN 差不多,也是一個 Agent,廠商不需要做太多改變。而且對廠商來說,不需要接觸你們整個內網環境,反而降低他們自己的責任風險。」
「ZTNA 的帳號管理是集中化的,按照供應商類型設定好存取模板,新增一家套用模板就好,不需要每次重新設定。」
併購整合
💬 痛點問法
- 「你們最近有沒有併購新公司,或是被集團收購的計畫?」
- 「新公司的 IT 系統跟你們現在的系統有沒有整合?員工要怎麼存取母公司的系統?」
- 「兩家公司的網路有沒有打通?預計什麼時候完成整合?」
🔴 常見現狀痛點
- 兩家公司網路架構完全不同
- SD-WAN 或 MPLS 整合要花 6 個月~1 年
- 但業務上已經需要互相存取系統
- 臨時的解決方案通常是更多 VPN,更多風險
ZTNA 不需要整合網路。兩家公司各自安裝 Connector,雙方員工裝 Agent,透過雲端平台設定存取權限,一週內可以上線。
「網路整合通常要半年以上,但業務需求等不了。ZTNA 可以讓兩家公司的員工先互通必要的系統,等網路整合完成後,再決定要不要繼續用。很多客戶做了之後就直接留下來了,因為更好管。」
海外據點
💬 痛點問法
- 「你們在海外有據點嗎?在哪些國家?」
- 「海外員工怎麼存取台灣總部的系統?速度怎麼樣?」
- 「海外據點的 IT 是誰在管?有沒有本地 IT 人員?」
- 「每個據點都要維護一套網路設備嗎?」
🔴 常見現狀痛點
- VPN 連回台灣速度慢,尤其東南亞、印度、東歐據點反映最強烈
- 每個據點各自維護一套網路設備,海外 IT 能力弱,出問題只能遠端支援
- MPLS 專線費用高昂,且頻寬僵固
一條台灣到越南的 10Mbps MPLS 專線,月費大約 NT$8~15 萬;同等頻寬在當地拉商用寬頻只需幾千元。一家在東南亞有 3~5 個據點的企業,每年光 MPLS 費用就可能超過 NT$500 萬。
SASE 讓每個據點直接走本地寬頻上網,安全策略在雲端統一管控,網路費用可以降到原本的 1/5 以下,且不需要在海外維護任何硬體。
- 員工就近連到 SASE 雲端節點,不需繞回台灣,速度大幅提升
- 上網行為管控、DLP、安全策略全球統一,海外不需要另外維護
- 硬體全部消除,IT 人力集中管理
「你們越南廠現在每個月的網路費用大概多少?如果 MPLS 佔了大部分,我們可以算一下,換成 SASE 架構之後能省多少——通常省下來的費用,就夠支付 SASE 本身的授權了。」
居家辦公 / 混合辦公
💬 痛點問法
- 「疫情之後你們員工有繼續遠距辦公嗎?比例大概多少?」
- 「在家上班的員工怎麼連公司系統?」
- 「員工用的是公司電腦還是自己的電腦?」
- 「在家上班的員工上網行為有辦法管控嗎?」
🔴 常見現狀
- 員工用個人電腦 + VPN 連公司,IT 不知道個人電腦有沒有中毒
- 在家上網行為完全不受管控
- VPN 容量在高峰時段不夠用
- ZTNA 取代 VPN:只開放員工需要的應用程式存取
- Device Posture Check:確認個人電腦健康度才允許存取
- SWG:員工在家上網一樣走 SASE 節點,受到保護和管控
SaaS 保護
💬 痛點問法
- 「你們主要用 M365 還是 Google Workspace?」
- 「有沒有擔心過員工把公司文件分享給個人 Gmail 或外部帳號?」
- 「OneDrive 或 SharePoint 裡面有多少文件對外部分享?你有辦法查嗎?」
- 「有沒有員工在 M365 裡面存了客戶個資,但你不知道在哪裡?」
- 列出所有對外部分享的文件
- 找出含個資的文件
- 發現異常下載行為(如離職員工大量下載)
- 設定自動化策略:含特定關鍵字的文件禁止對外分享
AI 治理
💬 痛點問法
- 「你們公司有沒有 AI 使用政策?」
- 「有規定不能把機密資料貼進 ChatGPT 嗎?你有辦法確認員工有遵守嗎?」
- 「DeepSeek 你們有封鎖嗎?封鎖了之後有辦法確認員工沒在用嗎?」
| 客戶類型 | 心態 | 對應話術 |
|---|---|---|
| 保守型 | 完全封鎖 AI | 「SASE 可以做到連員工手機流量也管控,包含 Agent 或 DNS-level 管控,不只是封鎖電腦瀏覽器。」 |
| 中間型 | 允許但管控 | 「允許用 ChatGPT,但禁止上傳含特定關鍵字的內容。效率跟安全可以兼顧。」 |
| 開放型 | 允許 + 稽核 | 「所有 AI 使用行為都有記錄,定期出報告給管理層,哪個部門用了什麼、有沒有上傳敏感資料。」 |
資料外洩防護
💬 痛點問法
- 「你們有沒有個資保護的合規要求?有沒有 ISMS 或 ISO 27001?」
- 「最擔心哪種資料外洩?客戶個資、研發設計圖、財報資料、還是原始碼?」
- 「員工離職的時候,你們有沒有稽核機制確認他們沒有帶走資料?」
台灣個資法規定,企業若因未採取適當的安全措施導致個資外洩,可能面臨罰款及刑事責任。DLP 是「適當安全措施」的重要組成部分。
「萬一客戶個資外洩,稽查機關第一個問的就是『你們有沒有部署 DLP』。現在部署,是未來被查的時候的保護傘。」
導入零信任到底省錢還是花錢?
這是很多企業高層最關心的問題。答案可能跟你聽過的業務簡報不一樣——而且這正是你在跟財務主管或董事會報告時必須說清楚的事。
結論先講
資安總成本通常不會大幅下降,甚至可能增加 10~30%。
但換到的是:風險大幅下降、管理效率提高、架構複雜度降低。
核心定位是「風險重構」,不是「成本削減」。
有機會下降 20~50%,因為很多地端設備可以直接消失。
原本靠設備堆疊建起來的安全架構,換成雲端服務後,CAPEX 轉為 OPEX,維運成本大幅減少。
傳統架構 vs 新型架構
哪些設備可能消失?
哪些設備不會消失?
不要跟客戶說「導入 SASE 就可以把防火牆都拿掉」,否則資安主管會直接否決你的提案。
成本結構比較(3000人企業,比例僅供參考)
| 項目 | 佔比 |
|---|---|
| Firewall | 25% |
| VPN | 10% |
| Proxy | 15% |
| MPLS | 25% |
| DLP | 10% |
| 維運人力 | 15% |
| 項目 | 佔比 |
|---|---|
| SASE 平台 | 35% |
| NAC | 10% |
| 微分段 | 15% |
| PAM | 10% |
| EDR | 15% |
| 維運人力 | 15% |
兩張表加起來的總額可能差不多。MPLS 省下來的費用,大致補到了 EDR、PAM、NAC、微分段的新增成本上。這才是誠實的說法。
真正省的是什麼?
維運成本大幅降低
以前台北、台中、高雄、新加坡、越南每個據點都要維護各自的防火牆、Proxy、VPN,還要有人能去現場處理。現在統一 SASE 平台,集中管理,IT 人力可以重新分配到更有價值的事。
MPLS 費用(對多據點企業是最大筆)
很多企業一年 MPLS 費用從數百萬到上千萬台幣。改走 Internet + SASE 後,這塊費用大幅下降,且頻寬可以彈性調整,不再被專線綁住。
異地流量回傳成本
傳統架構所有流量繞回總部再出去,SASE 改成就近出口,節省頻寬費用,也大幅改善海外員工的使用體驗。
反而新增哪些成本?
業務必須誠實告知,否則客戶導入後發現帳單超出預算,信任就很難維持。
企業真正得到的是什麼?
這才是董事長會買單的原因。不是省設備,而是降低風險。
業務顧問建議
「導入 SASE 一年可以省多少錢」——很多大型企業算完可能根本沒省,財務主管一算帳,案子就卡住了。
「把原本分散在 VPN、Proxy、CASB、部分 DLP 的能力整合到統一平台,降低維運複雜度與管理成本,同時提升遠距辦公、SaaS、AI 工具與第三方存取的安全性。」
真正能看到明顯成本下降的客戶類型
金融業、政府機關、大型製造業這類高成熟度環境,導入 SASE + NAC + 微分段 + PAM + EDR,更多是在做風險重構(Risk Reduction),而不是單純的成本削減。
財務主管問「省多少」的時候,答案是:「這筆投資換來的是,當攻擊發生時,你知道範圍是可控的。」