生成式AI(GenAI)與大語言模型(LLM)正在快速滲透進入資安治理流程。過去仰賴人工彙整、專家經驗與靜態報表的治理模式,已難以回應當前威脅樣態高度動態化、資料來源高度分散化的現實。
為了協助政府機關有效地掌握風險與資源調度,國家資通安全研究院(資安院)推動資安治理平台,並融入自主發展的LLM,讓法規遵循、曝險評估、事件通報、威脅情資等分析與判讀,從過往的碎片化作業轉向整合性的自動化作業。
實際上,在政府數位治理全面升級的過程中,資通安全早已不只是單一技術防護問題,而是牽涉制度設計、資料治理、跨機關協作與政策決策支援的系統工程。資安院於日前舉辦「資安院2.0-資安治理平台座談會」,邀請資安責任等級A級與B級之政府機關參與,共同探討如何將AI與LLM技術導入現行的資安監控與治理流程。資安院院長林盈達在開場時強調,資安治理的關鍵在於看得到才治得到,唯有達成可視化,才能進一步落實有效的管理。資安院規劃將原有的資安週報逐步升級為資安治理平台,透過建構以資料為基礎、AI分析為核心的體系,強化國家整體的政策決策支援能力。
資安院國際合作及資安治理中心經理郭尚佶指出,治理成熟度若只停留在文件填報,容易形成「寫與做」分離的落差,主管機關難以判讀各機關的實作成果,更難把資源投向真正的薄弱環節。實務上,各機關累積了大量成熟度佐證資料與資通安全事件通報資料,格式不一、散落於不同流程與系統之間,導致人工彙整與解讀的成本居高不下,治理工作被迫消耗在資料清理與對照,無法形成可持續的洞察循環。資安治理平台的核心目標,即是透過標準化數據匯入機制,解決資訊不對稱的問題,並透過自動化引擎提取關鍵指標(KPI),讓決策者能對整體防禦態勢有更直觀的理解。
建構標準化資料分類架構
過去一年來,資安院針對資安治理工作重點,在於深化治理基礎,而非一開始就追求高階AI應用。資安院配合資安署的政策方向,重新檢視國內外資安治理成熟度的評估方法,特別關注「寫得到,也要做得到」這個長期困擾政府機關的問題。過往資安治理評估高度仰賴人工檢視與文件比對,資料來源零散且標準不一,導致實作成果難以被系統性驗證。進入AI與LLM逐漸成熟的階段,資安院開始嘗試透過AI協助整理、分析與比對這些佐證資料,讓治理成熟度的評估,不再只是形式上的填報,而是能夠反映實際落地情況。
當治理成熟度需要佐證時,關鍵不只是有沒有做,而是佐證資料能不能被一致性解讀,並且能追溯到實際控制措施與執行痕跡。因此,資安治理的第二任務是資料分類架構與盤點。以策略管理的角度,重新拆解資料結構,將法規遵循、曝險、通報與情資四大面向納入同一個分類體系中思考。這樣的設計,目的不在於增加資料量,而是釐清不同資料之間的關聯性。例如法規遵循已完成,是否真的代表曝險風險降低;或外部曝險掃描結果,是否應回饋至治理評估之中。
郭尚佶表示,這類跨資料屬性的對應關係,若僅靠人工分析,工作負擔極高,也難以長期維運。因此資安院已先行完成內部與機關端可用資料的盤點與對應,為後續AI應用鋪路。這並非立即導入全自動化判斷,而是先確保資料本身的結構、來源與品質,能夠支撐AI進行分析。這樣的治理邏輯,也反映資安院對AI角色的定位,即AI是輔助治理決策的工具,而非取代人類判斷的黑盒子。
在此基礎上,資安院建置了「資安週報平台」作為實驗性產品。郭尚佶強調,平台是否能夠落地,是整個計畫的關鍵。資安週報平台目前已整合外部攻擊面管理(EASM)、資安聯防監控攻擊階段統計、實兵演練、資通安全事件通報與蜜罐誘捕等資料,透過AI輔助產生每週的統計與解析報告,協助機關掌握近期威脅態勢與可能的應對行動。這樣的週期性整理,目的在於讓治理者能夠持續「看得到風險」,而不是只在重大事件發生時才被動應變。
導入LLM與ELK架構提升自動化威脅解析
在技術實作層面,國家資通安全研究院前瞻研究籌獲中心經理張耿瑜進一步說明,資安週報平台的設計初衷,是降低資安分析的門檻,讓非資安專業背景的使用者,也能透過平台理解數據所呈現的意義。過往資安分析高度仰賴專家人工解讀,不僅耗時,也限制了治理視角的擴散。透過LLM導入後,原本需要數小時才能完成的資料彙整與報告撰寫,如今可在數十分鐘內完成,且在報告結構與一致性上更具水準。
張耿瑜指出,資安週報平台目前已將通報資訊、聯防監控、外部曝險與漏洞攻擊資訊集中處理,透過人機協作的方式產出分析結果。AI在此並非直接下結論,而是協助整理資料脈絡、歸納趨勢,讓人員能夠更快進行判斷。未來在技術發展方向上,資安院規劃全面導入ELK(Elasticsearch、Logstash、Kibana) Stack,作為資料架構升級的核心。藉由集中原始資料(Raw Data)並支援多時態分析,強化歷史回溯、趨勢比較與即時分析能力。
這樣的架構設計,讓平台不再只是單週報告工具,而是具備長期治理分析潛力的資料基礎。透過擴充多元資料源,例如弱點掃描結果、行為資料與外部情資,資安院希望逐步深化對資安態勢的洞察,避免只看到單點事件,而忽略長期累積的系統性風險。
透過AI模型輔助,平台可針對特定戰術占比過高的情境,自動生成風險解讀與防護建議。例如在MITRE ATT&CK框架中的偵察或初始存取階段占比偏高時,平台會提醒機關檢視外部設備與修補狀況,降低被動暴露風險。這類分析並非取代資安人員判斷,而是提供一個可快速理解現況的參考視角,讓有限人力能集中處理最關鍵的風險。