在數位轉型與人工智慧(AI)浪潮推動下,身分與存取管理(IAM)已從過往的輔助工具,蛻變為企業資安治理的核心骨架。過去以邊界為主的防護模型逐漸式微,零信任架構(ZTA)成為全球趨勢,而隨著雲端服務普及、遠距工作常態化,以及AI Agent與機器帳號急速增長,IAM的重要性與複雜度可說遠甚以往。
對企業而言,挑戰已不再只是如何驗證「誰」能登入系統,而是如何同時治理人類、機器與AI代理三種身分型態,並在法規遵循、資安風險、營運效率之間取得平衡。
這場變革之所以備受關注,關鍵在於IAM不再只是資訊系統的附屬功能,而是滲透至合規稽核、業務營運、雲端架構,甚至AI應用的核心治理層。若沒有清晰的身分掌控機制,企業將難以應付爆炸性的應用數量、跨境合作與供應鏈協作帶來的風險。正因如此,IAM正在被重新定義為「以身分為中心」的資安樞紐,並且逐步從工具型功能,演化為平台化、智慧化的治理引擎。
平台化與AI驅動治理轉型
IAM的發展已經不再是單點解決方案的堆疊,而是走向平台化、智慧化的整合策略。CyberArk大中華區技術顧問黃開印指出,傳統IAM無法應付現代數位化應用的複雜挑戰,因此CyberArk選擇以身分安全為主軸,融合特權帳號管理(PAM)、身分治理(IGA)、多因子驗證(MFA)、單一登入(SSO)等模組,建構整合式平台。這樣的設計不僅能針對不同角色提供差異化控管,也能讓平台因應開發人員、外包商與AI代理的多元場景,實現更全面的身分治理。
CyberArk更進一步觀察到,機器身分的數量已是人類身分的82倍,伴隨生成式AI與代理型AI(Agentic AI)的興起,治理壓力正快速擴張。對此,CyberArk推出Secure AI Agents與Secure Workload Access兩大方案。其中,Secure AI Agents針對AI代理的全生命週期治理,包括存取權限、行為監控與威脅偵測。Secure Workload Access則專注於Kubernetes、Service Mesh等雲原生環境中的動態工作負載存取控管,藉由支援SPIFFE等標準,確保每一個工作負載都能具備唯一可驗證的身分。這些功能讓IAM平台能真正涵蓋人類與非人類帳號,形成貫穿應用全鏈的防護體系。
與此同時,SailPoint則從身分治理的長期演進角度提出另一種思維。SailPoint香港、台灣與澳門總經理戴健慶強調,僅僅將IGA、PAM與存取控管等功能融合在單一平台,雖然能解決當下問題,但未必能支撐未來的發展彈性。因此,SailPoint提出「Unified Identity Platform」策略,透過Atlas平台扮演類似智慧型手機作業系統的角色,提供長期演進的應用生態基礎。
Atlas平台能整合多樣身分來源與應用,並結合機器學習與生成式AI,協助企業從資料孤島中釋放價值,同時推動SOC(資安維運中心)與IAM的深度整合,讓SOC能從IP位址解析行為背後的實際使用者與AI代理身分,進而快速回應風險事件。
這樣的平台設計,也讓IAM進入AI驅動的治理階段。SailPoint將大型語言模型(LLM)導入,生成權限配置清單與同儕群組相互比對,幫助IT管理者更清楚理解權限意涵,降低審核錯誤;同時自動化盤點Service Account、Bot Account等機器身分,確保人機帳號同樣符合安全與合規要求。IAM不再只是存取管理工具,而是結合AI演算法的智慧治理引擎,推動企業建立數位風險的即時可視化。
差異化技術突圍IAM競局
在國際大廠以平台化與AI技術主導趨勢的同時,本土廠商也展現出與眾不同的發展路徑。來毅數位董事長林政毅觀察到,台灣市場雖不若歐美成熟,但在政府推動零信任政策的帶動下,IAM正逐步擴展,尤其在金融與公部門領域已成為必要條件。IAM的挑戰不僅來自技術,更在於新舊系統的整合難題,因此來毅數位採取「自建核心、整合周邊」的策略,專注於MFA與SSO模組的技術優勢,再透過策略合作補足PAM等功能,提升整體平台整合能力。
具體而言,在驗證技術上,來毅數位旗下Keypasco方案提出完全不同於傳統PKI的分散式私鑰簽章機制。該設計不將完整私鑰下發至終端,而是拆分儲存在用戶端與伺服器,並須經由裝置特徵與演算法還原,確保即便攻擊者取得片段資訊仍無法完成交易簽章。搭配設備指紋、地理位置與雙通道認證等多因子,Keypasco能同時兼顧安全與便利,廣泛應用於政府專案、網銀與電商等場景。
林政毅指出,平台化的競爭並非拚全能,而是拚整合。台灣廠商在全球市場的角色,往往是提供具差異化的關鍵模組,以便在大型專案中扮演重要一環。這種務實策略不僅回應了在地市場的需求,也展現出本土技術在全球IAM版圖中不可忽視的價值。
此外,來毅數位提供的Keypasco方案為軟體式,相較於硬體TPM或Secure Element的依賴,透過分散式私鑰與裝置特徵驗證,可以更靈活地因應雲端與跨平台場景,這對於需要快速擴展或異質整合的產業尤其重要。隨著產業推動零信任藍圖,結合本土創新的IAM技術,將有助於中小企業以更低成本導入合規與資安治理,縮短與國際企業的落差。
隨著AI、雲端與零信任持續推動IT治理轉向「以身分為中心」的階段,IAM的角色已從IT基礎設施中的輔助工具,進化為連結人、機器與AI代理的核心治理平台。IAM未來將朝向三個方向演進:其一是全面平台化,整合PAM、IGA、MFA與SSO,形成完整的治理生態;其二是AI驅動智慧化,利用機器學習與生成式AI推動自動化風險監控與權限治理;其三則是在地化與合規導向,特別是在金融、醫療等高度監管的產業,隨著資料主權與隱私法規日益嚴格,IAM將成為落實法規遵循的必備基礎。