驗證技術持續擴展平台化　IAM轉型落實資安治理

身處這場轉型浪潮中的本土廠商來毅數位，正透過自主研發技術差異化與產品平台化策略，尋求在全球資安市場中贏得競爭力。

來毅數位董事長林政毅觀察到，台灣市場對IAM的關注熱度雖不若歐美成熟，但在政府推動零信任架構（ZTA）政策的帶動下，實質進展正在逐步擴展。政府不僅是驅動力，更扮演第一波實施的角色，並向下推展至金融、上市櫃公司，期望最終擴及中小企業。然而，真正落實IAM，並非僅靠法規要求，更需上下齊施的雙軌推力，一方面仰賴政府自上而下制定指引與規範，另一方面也需仰賴企業內部意識覺醒與技術導入，自下而上推動治理升級。

認證因子多層次設計

IAM的演進歷程實際上反映了IT環境的變遷。林政毅指出，早期IAM著重在帳號與密碼的驗證，例如透過硬體Token輸入密碼的方式完成驗證。但隨著企業IT架構逐漸擴展到多雲部署、多據點、跨國子公司與遠端辦公需求，IAM的複雜性與挑戰倍增，單一身分驗證已無法支撐企業多樣化的存取需求。

現代的IAM系統必須能同時涵蓋多重功能模組，包括多因子驗證（MFA）、身分治理與管理（IGA）、特權帳號管理（PAM）、端點特權管控（EPM），並能跨接既有的AD（Active Directory）或各式應用系統。這些功能過往各自為政，往往由不同解決方案負責處理，林政毅舉例如Okta從驗證起家、CyberArk從特權帳號管控出發、Cisco則藉由收購Duo整合網路安全與身分驗證，各大廠商紛紛從自身擅長的IAM模組為核心逐步橫向擴展解決方案。

來毅數位也不例外。林政毅透露，來毅數位最初專注於研發MFA軟體式模組，並從中找到技術優勢，之後陸續延伸至SSO（單一登入）、AM（存取控管）等模組，並選擇不自行發展特權帳號管理，而是透過與專業廠商策略合作，強化整體平台整合能力。這種以「自建核心、整合周邊」的策略，不僅展現出技術聚焦，也反映出台灣資安廠商在全球IAM競爭格局下的務實策略。

整合的挑戰不僅在於功能，更在於如何與客戶現有系統對接。許多企業仍倚賴舊有系統維持核心營運，導致新舊系統整合成為實務上最棘手的挑戰。為此，來毅數位採用Proxy、Gateway等技術實作SSO協議對接，確保可與既有架構順利銜接，不造成企業中斷風險。這也使其產品能靈活應用於B2B與B2B2C等不同場景，包括政府專案、網銀系統、電商平台等，提供客製化API串接與模組化部署能力。

分散式私鑰技術保障憑證無虞

在全球大廠多以憑證為核心設計身分驗證機制的情況下，來毅數位選擇走一條完全不同的路線。林政毅指出，現行FIDO標準與PKI架構普遍依賴硬體裝置上的憑證儲存，例如受信任的平台模組（TPM）或Secure Element安全元件。但林政毅強調，這樣仍舊無法保證終端安全無虞，唯有改變身分驗證保存機制才是關鍵。

來毅數位旗下擁有多項國際專利的Keypasco方案，核心技術在於不依賴任何憑證或金鑰，而是運用裝置上的各種硬體與系統特徵值，完全符合PKI規範的同時，卻始終不把完整的私鑰分發到終端使用者裝置上。Keypasco MFA的核心認證因子涵蓋多層次的防護設計，首先是設備指紋（Device ID），為使用者的電腦、手機或平板等裝置建立獨一無二的識別碼，如同人類DNA一樣的獨特，用以確保登入請求必須源自受信任的端點。其次是地理位置，將裝置所在位置納入驗證依據，用來標記並阻擋來自異常或未經授權地點的存取行為。

在防禦機制上，藉由專利雙通道認證技術，將認證通道與登入或交易的資料通道完全分離，避免中間人攻擊與網路釣魚攻擊，即便資料通道遭攔截，也無法竄改獨立運作的認證通道。此外，生物辨識與裝置原生功能（如指紋、臉部辨識）可無縫整合，在便利與安全性間取得平衡。

為進一步提升在PKI環境中的安全性，來毅數位專利的「分散式PKI私鑰簽章技術」，可將使用者的私鑰拆分為兩半，分別儲存在用戶端與伺服器端，且須經由裝置特徵、PIN碼與演算法還原。若攻擊者僅取得用戶端與的片段，仍無法還原完整私鑰，即使具備PIN碼也無法完成交易簽章，藉此達到無須依賴TPM與Secure Element的高度防護，實現軟體式的驗證。

這套架構也與政府推動的ZTA零信任架構相呼應。林政毅根據資安院版本的ZTA藍圖，身分鑑別、設備鑑別與信任推斷為初期重點項目。來毅數位的產品設計完全符合這三大支柱，甚至已搶先完成多項認證測試。

面對國際大廠的競爭壓力，林政毅直言：「平台化不是拚全能，而是拚整合。」來毅數位深知自身在MFA演算法與風險推斷模型上的技術優勢，因此選擇在FIDO、設備識別、無密碼驗證等領域與其他廠商合作建構生態系，以確保自身能在大型IAM專案中扮演關鍵模組供應者的角色。透過雙模式供應策略（B2B與B2B2C），其解決方案可同時支援企業內部存取控制與對外服務驗證，滿足金融、製造、政府等產業在不同場景下的資安需求。