2023年台湾pki趋势调查结果报告.doc

2023年8月台灣PKI趨勢調查結果報告 為深入了解國內PKI〔Public Key Infrastructure, PKI〕使用整體現況，亞洲公開金鑰基礎建設論壇中華台北推動委員會〔簡稱PKI中華台北推動委員會〕秘書組，以及日本PKI論壇於本〔91〕年度共同進行『2023年PKI趨勢調查』，調查對象包括日本、韓國、新加坡以及我國等四個國家，調查內涵則包括了企業之PKI建置現況與模式、面臨的困境與挑戰、採取的PKI應用領域，和跨國PKI相互承認等議題。 本調查報告為台灣區之調查結果分析，內容分為受訪者背景資料、受訪者組織導入PKI狀況、受訪者組織導入PKI過程與使用情況、跨國PKI互通議題、未建置PKI系統之組織等七個項目；結論則歸納本問卷調查之主要發現。 壹、前言 包括了企業與企業、顧客、銀行、物流業者以及員工間越來越頻繁e化通訊的往來，隨著電子商務，已成為企業追求競爭優勢的關鍵之一；此外，公司業務運作方式亦隨著這些創新電子化應用模式的演進而逐漸產生變革。 與私有網路或是EDI比較，網際網路以開放式環境之基礎成為最具本钱競爭力的資料傳輸媒介，但也由於網路環境開放較高，因此資訊安全的風險也日益顯得水漲船高。唯有在線上環境中穩固地建立起「信任」與「安全」機制，電子商務需求方能夠迅速帶動。公開金鑰基礎建設的出現則為提供網路上信任與安全功能的重要關鍵要素，解決資訊安全疑慮。 為深入了解國內PKI使用整體現況，PKI中華台北推動委員會執行2023年PKI趨勢調查，內涵包括了企業之PKI建置現況與模式、面臨的困境與挑戰、採取的PKI應用類別，以及跨國PKI相互承認等議題。 日本PKI論壇與PKI中華台北推動委員會共同檢視調查問卷英文版本內容並做最後定搞。該問卷內容翻譯為中文，並公佈於台灣電子商務中心以及PKI中華台北推動委員會網站內，作為主要媒介進行調查；調查並另輔以電話訪談方式，作為受訪者問卷答复內容之確認用途。 本調查之受訪對象原則並未設限，PKI中華台北推動委員會秘書組亦針對特訂團體提出參與調查之邀請，這些邀請對象包括：PKI中華台北推動委員會委員、台灣國際電子商務中心〔CommerceNet Taiwan〕企業會員，以及其他對於PKI議題關切專業人士等。 問卷設計為兩個主要部份，第一部份為受訪者背景資料，第二部份則為調查目的所設計之問題，亦為本問卷之核心部份。第二部份又依受訪對象分為三個子區塊。 第一子區塊所提問題以了解何謂PKI，且其組織/企業已經導入或建置PKI技術/系統之受訪者為答复對象。 第二子區塊所提問題以了解何謂PKI，但且其組織/企業沒有導入或建置PKI技術/系統之受訪者為答复對象。 第三子區塊所提問題則以不了解何謂PKI之受訪者為對象。 由於問卷依上述三種不同受訪對象而設計，以下章節之調查結果內容亦依循此三部份進行分析；讀者需留意不同章節於開頭定義之受訪對象，以防止混淆情況發生。 本問卷調查執行期間為一個月，並於2023年6月17日截止。 貳、資料分析： 第 1 節 背景資料 本調查有效問卷數為99份。 1.1 組織大小 99位受訪者所屬組織/公司的雇員數類別分布頗為平均：雇員數為100人以下之小型企業組織佔全體受訪者之54%；雇員數為100人以上的中大型企業組織佔46%，其中超過1/4的受訪組織雇員數多於500人。<圖1>詳列各分布比例。 <圖1> 組織雇員數 1.2 組織伺服器數量 問卷中問及各組織的伺服器數量，作為企業電腦化評量參考指標；56%的受訪組織伺服器數量少於10台，另有15%受訪組織伺服器數量超過50台。 <圖2> 組織伺服器數量 1.3 組織型態類別 本問卷設計將組織依型態分類為「政府單位」、「國內一般企業部門」、「文教機構」，以及「外商之台灣分公司」等類別，超過八成〔81%〕的受訪者為一般廠商，另有一成是文教機構〔包括學校、研究機關等〕；8%為跨國企業在台之分公司，另外有1%則為政府部門組織。 <圖3> 組織型態類別 1.4 組織產業類別 受訪者組織產業別狀況如<圖4>所示，其中最高比例者為資訊產業，約佔52%；其他佔較高比例之產業類別亦與資訊產業相關，例如電信業〔8%〕以及網路公司〔6%〕。金融業受訪者佔9%，該產業於近兩年間，亦已積極開發許多以資訊技術為基礎之電子化金融服務項目。 <圖4> 組織之產業類別 1.5 對PKI了解程度 在99位受訪者中，其中70%表示知道何謂PKI，而其餘30%則否；超過一半〔54%〕具PKI知識的受訪者表示其組織已導入或建置PKI相關機制 ，另有46%表示組織沒有導入PKI系統。 <圖5> 受訪者對PKI之認知與否以及受訪者組織/企業建置PKI狀況 貳、資料分析 第 2 節 組織導入PKI系統狀況 本節〔第2節〕所提及之受訪者樣本空間為：「知道何謂PKI，且無論其組織或公司是否已經導入PKI系統者」；本節分析樣本數為69份。如上節末所述，受訪者知道何謂PKI，其組織導入與未導入PKI機制的比例分別為54%和46%。 2.1 依組織型態分類 <圖6>為依組織型態分類，受訪者組織是否導入PKI之比例。需留意處為，由於來自於政府單位類型的總樣本數為1個，使調查出現所有的〔100%〕政府單位均已導入PKI系統之誤差結果 。由<圖6>中可發現，超過一半的文教機構〔包括一般大專院校與研究機構等組織〕已經採用PKI系統；分別有33%以及44%的外商台灣分公司與外乡公司已導入或建置PKI系統。 <圖6> 依組織型態分類之組織導入PKI系統狀況 2.2 依產業別分類 假设依產業別觀察組織/企業PKI導入狀況，可得<圖7>之結果。<圖7>中於零售業、製造業以及金融業等三個類別中所出現之極端值〔0%或100%〕，應是由於有限的樣本數量所導致。然而，仍可由調查結果研讀出金融服務產業採用PKI技術已是明顯之趨勢；而在零售或製造業的PKI使用狀況仍不普遍。 其他產業類別在導入PKI與否方面則呈現平均分配結果；例如在醫療保健、資訊技術以及網際網路等產業中，已採用與未採用PKI的比例均為50%與50%。 <圖7> 依產業別分類之組織導入PKI系統狀況 2.3 依雇員數量分類 <圖8>為受訪者依其組織或企業雇員數分類之PKI導入與否分布狀況；由圖中可發現，公司規模與PKI導入關係並不明顯。 <圖8> 依雇員數量分類之組織導入PKI系統狀況 貳、資料分析 第 3 節 組織PKI之導入與建置情況 問卷設計中，僅有組織內部已導入PKI之受訪者被要求答复關於其組織或公司建置與使用PKI狀況的問題以及相關資訊；本節所提及之受訪者樣本為符合上述條件者，其樣本數為37份。<圖9>與<圖10>分別彙整出已經使用PKI機制之受訪者組織型態以及產業類別分布比例。 <圖9> 已導入PKI組織的組織型態類別分布狀況 <圖10> 已導入PKI之組織依產業型態分布狀況 3.1 組織開始導入PKI時程 調查結果顯示，超過一半〔51%〕的受訪者表示，其組織於近兩年間開始導入PKI系統，為最高比例；三至四年前開始導入者佔24%，約佔1/4。隨年份減少，比例數字亦越顯降低；由此可推斷國內組織與企業的PKI建置計劃始於90年代末期，去年與今年度導入趨勢更為明顯，該趨勢預計於未來短期內仍將繼續維持 。依調查結果，最早開始建置PKI系統的組織為金融服務業者。 <圖11>詳列受訪者組織開始其PKI計劃之時程統計。 <圖11> 組織開始PKI系統建置專案之時程 3.2 組織導入PKI系統花費時間 本問卷定義組織企業完成整個PKI建置與導入計畫所花費的時間起始點為「以PKI建置或導入計畫評估與規劃階段」為起始點，經過系統評估、採購、安裝、商業流程整合、人員訓練等必要流程，至PKI系統完全上線使用止。 <圖12>為受訪者組織執行PKI導入計畫花費時間之調查結果。近八成〔78%〕受訪者組織或企業利用少於一年的時間完成整體PKI建置工作，其中38%使用不到6個月時間，另外40%花費半年至一年時間。 <圖12> 組織執行PKI導入計畫花費時間 3.3 其他規劃中或已進展之PKI計畫 根據調查結果，65%的受訪者表示其組織或企業目前仍有其他PKI相關之專案或計畫在規劃或進行當中。 <圖13> 是否有其他規劃中或已進展之PKI專案或計畫 這些在進行或規劃中的PKI計畫主題如以下： · PDF (Acrobat Portable Document Format)格式文件之簽名驗證 · 無線PKI · 病歷資料交換系統 · 政府公文交換 · 金融XML · 安全電子郵件系統 · 電子採購系統 · 網路銀行 · 供應鏈系統 · 不同作業系統之應用程式 · 交易夥伴之PKI系統建置 · PKI middle ware, PKCS#11 middle ware, certificate middle ware · 門禁管制IC卡 · 晶片信用卡等 3.4 組織導入或使用PKI原因 <圖14>為受訪者答复關於其組織/公司導入或採行PKI之主要原因結果。其中有92%受訪者表示其採用PKI最主要為安全考量，而70%則為配合其交易夥伴之業務需求。 <圖14> 受訪者組織導入或使用PKI原因 依受訪者產業類別細分其使用PKI原因，彙整結果如<圖15>所示 。由於受訪者絕大局部來自於資訊產業，使得調查結果為幾乎所有項目原因均由資訊產業佔最高比例。唯一例外為「法律強制命令」因素一項，此項因素主要以金融業為多數；這是肇因於國內政府對於網路銀行以及線上股票交易等服務提供，必須使用電子簽章之法令規定。 <圖15> 依產業別分類之受訪者組織導入或使用PKI原因 3.5 採用之PKI服務〔功能〕類型 為了解我國企業PKI使用者較常使用PKI功能，以及運用用途，本問卷設計題目：「請問貴公司/單位運用了PKI哪些功能，並請說明該功能之用途」；題目並列舉PKI四大服務：鑑別、資料完整、私密以及不可否認等功能作為選項。調查結果如<圖16>所示，其中佔最高比例者為「不可否認性」，約92%；其次為「鑑別」，佔89%；另外兩項功能亦呈現高達84%之比例。由此低差異性百分比例可推斷，受訪者並沒有對於某一特定PKI功能有明顯之依賴或使用情況。 <圖16> 受訪者組織/企業採用之PKI功能比例 表一彙整受訪者舉例說明其組織/企業運用上述四大PKI功能之用途： 3.6 使用之PKI系統或產品品牌 本問卷列出國際性PKI產品品牌大廠名稱，包括：RSA、Baltimore、Entrust、Verisign以及Microsoft等廠商，調查受訪者組織所採用的PKI系統或產品品牌為何，近半數〔46%〕的受訪者選擇「其他品牌」。由此可推斷國際大型廠商於我國PKI市場中，尚未形成明顯之優勢。 這些選擇「其他品牌」的受訪者當中，有部份表示自行開發其PKI系統，並擁有原始程式碼；大部份的其他品牌使用組織則採用國內廠商所開發之PKI系統、服務和產品，包括台灣網路認證公司、中華電信公司、聯傳科技公司以及全景軟體公司等。 最受廣泛採用的非本國PKI品牌為RSA，約27%的受訪者選擇該品牌；有14%受訪者組織選用了VeriSign的解決方案；微軟及Entrust各佔了5%，比例最少者為Baltimore廠牌。 <圖17> 使用PKI系統或產品品牌 3.7 組織建置PKI系統面臨之困難 關於受訪者組織在導入或建置其PKI系統時所面臨之困難，最多比例〔38%〕的受訪者表示為「市面上可供選擇的PKI產品/服務/解決方案」；亦有超過1/3受訪者認為組織內部缺乏PKI相關專業人才為主要困難點。 「與現有系統難以