【未來城市EP.128】資安即國安！Fortinet 揭秘：AI 時代下，如何將「合規」轉化為出海接單的信任戰力？

此攻擊波及美國國務院、財政部、國土安全部等政府機構，促使美國發布第 14028 號行政命令，強制要求軟體供應商提供軟體物料清單（SBOM），間接帶動 2022 年美國關鍵基礎設施資安通報法案與 2024 年歐盟《網路韌性法》（Cyber Resilience Act）落地

• ISO 27001 是進入歐美供應鏈的「最低門檻通用語言」，輔導到取證約需一至一年半；IEC 62443 則針對工控與 OT 環境，兩證合一可讓國際買家直接跳過基礎資安問卷
• AI 時代將駭客技能「下放」給一般人，攻擊門檻大幅降低；Fortinet 的 Security Fabric（安全之網）架構整合 IT、OT 與雲端防護，搭配在地 FortiGuard Labs 威脅情資提供即時更新
• 零信任存取（ZTA，基於 NIST SP 800-207）將防護重心從「網路邊界」轉向「持續身份驗證」，是面對內外部威脅最務實的第二道防線
• 台灣某設備商在歐洲招標中報價較高，仍因主動附上 IEC 62443 認證、ISO 27001 文件與 SBOM 清單，讓買家省下大量合規溝通成本，最終勝出

詳細內容

資安與接單為何「撞在一起」

台灣是全球供應鏈不可或缺的製造基地，同時也是全球遭受駭客攻擊頻率最高的國家之一。過去「被攻擊」屬國安問題、「接單」屬商業問題，兩條線平行，如今歐美採購方在下單前已開始要求供應商說明資安架構與供應鏈風險，兩件事正式合流。

2020 年 SolarWinds 供應鏈攻擊事件是重要轉折點。駭客並未直接攻擊最終目標，而是將特洛伊木馬埋入 SolarWinds 的例行軟體更新包，受害的企業在不知情的情況下將惡意程式引入內部網路。此攻擊波及美國國務院、財政部、國土安全部等政府機構，促使美國發布第 14028 號行政命令，要求供應商提供軟體物料清單（SBOM）；2022 年關鍵基礎設施資安事件通報法案隨後通過；2024 年歐盟《網路韌性法》進一步要求資安必須「深埋進產品 DNA」，從 nice-to-have 正式變成 must-to-have。

Fortinet 的兩大戰略價值：整合力與情報力

Fortinet 台灣技術顧問李鵬指出，Fortinet 提供供應鏈安全的核心在於兩點：整合力來自 Security Fabric（安全之網），讓防火牆、端點、雲端等裝置能相互聯動，解決防護「深度」問題；情報力來自台灣在地的 FortiGuard Labs 威脅情資中心，即時更新威脅特徵，解決防護「速度」問題。

Fortinet 最新 2026 年全球威脅情勢報告指出，AI 驅動的攻擊已讓全球威脅進入新階段，AI 降低了駭客技術門檻，使「人人可當駭客」成為現實威脅。Fortinet 的三大 AI 核心能力分別是：AI Protect（AI 賦能防護）、AI Assist（AI 自動化作業）、Secure AI（保護大型語言模型本身免受提示詞注入攻擊）。此外，Fortinet 超過 75% 的硬體設備在台灣生產，桃園龜山設有物流中心供應全球。

三步驟：從資安現況到國際認證

李鵬建議資源有限的企業不要「包山包海」，而是依以下三步驟精準推進：

第一步：內部盤點（打開燈，看清家底） 先進行資安現況盤點，釐清企業內部資產、雲端與地端系統帳號、存取權限等，建立管理可視性。通過盤點，讓老闆與客戶能「一眼看到令人安心的基礎」，而非只看到資安團隊忙碌卻無法量化成果。資安最大成果往往是「貨品照常出貨、人員正常上班」，而非「救火現場」。

第二步：防線收縮（落實身份管控） 導入零信任存取（ZTA）架構，核心概念是「預設不信任、持續驗證」。傳統的內部／外部網路邊界已不足以應對現代威脅；將防護重心轉向身份驗證，讓每次存取都需確認身份，系統才授予對應權限，方能更好地保證資訊安全。

第三步：外部證明（取得國際認證） ISO 27001（國際資訊安全管理標準）是進入歐美供應鏈「最低門檻」，取證約需一至一年半。IEC 62443 則聚焦 OT 與工控環境。兩項認證合搭 SBOM 清單，可讓企業直接跳過基礎資安審查問卷，進入商品規格確認環節，大幅降低買方溝通與合規成本。

資安投資的「健身房思維」

主持人陳芳玉以「辦健身房會員」類比：表面上是花錢又費力，實質上是在買健康。資安合規也是如此——花費的預算不是純粹成本，而是在守護企業數百億資產，以及潛在的國際訂單機會。真正的問題不是「資安要花多少錢」，而是「願意花多少預算來守護多少價值」。

實戰案例：報價較高仍拿下歐洲訂單

某台灣設備商在歐洲招標中，面對價格競爭沒有陷入殺價思維，而是在提案書中主動強調其網路安全架構採用通過 IEC 62443 認證的 Fortinet 安全平台，附上 ISO 27001 認證文件及 SBOM 清單。歐洲買家評估後發現，選擇一個「標準已對接、風險可量化」的供應商，省下的整合成本與潛在資安避險價值遠高於幾個百分點的價差，最終選擇這家台灣廠商。

精選語錄

我們今天面對的，是什麼，資安，說真的無價，好比辦健身房會員，表面上是花錢，但實際上是在買健康。

台灣的老人家比 AI 還聰明——老爸一聽，一眼就辨識出 Deepfake 偽裝的兒子。

選擇一個標準已經對接、風險可以量化的供應商，省下的整合成本與潛在資安避險的價值，遠高於那幾%的價差。

時間軸

逐字稿無明確時間戳記，以下為主題段落順序：

• 開場：台灣製造業資安與接單壓力背景說明
• 段落一：SolarWinds 攻擊事件始末與法規連鎖反應（美國第 14028 號行政命令→2022 年通報法案→2024（今年）歐盟 CRA 落地）
• 段落二：Fortinet Security Fabric 整合力與情報力介紹
• 段落三：AI 時代攻擊形態變化，AI 驅動威脅新階段
• 段落四：資安投資的「健身房思維」類比
• 段落五：ISO 27001 與 IEC 62443 認證介紹與取證流程
• 段落六：台灣設備商贏得歐洲訂單實戰案例
• 段落七：三步驟框架（盤點→身份管控→外部認證）詳解
• 段落八：零信任存取（ZTA）與 Deepfake 辨識類比
• 段落九：Fortinet AI 三大能力（AI Protect / AI Assist / Secure AI）與 Made in Taiwan 硬體