2025 年 7 月 25 日，Help Net Security 發表一篇報導，引用資安公司 Unosecur 最新雲端身份安全基準測試結果，針對 50 家不同產業與地區的企業所進行的診斷性掃描指出，幾乎所有企業至少有一項高風險控管失效，平均每家存在約 40 項身份控管問題。此調查使用符合 ISO 27001/27002、PCI DSS、SOC 2 等標準，提供具可重現性的雲端身份安全現況分析，非基於問卷調查，而是實際檢驗控管實踐層面，可信度高 。

調查主要發現與控管缺失類型

1. 高風險控管錯誤普遍存在：調查顯示，所有受測企業至少有一項高風險身份安全控管缺失，平均每家公司約有 40 項控管錯誤。這代表企業雲端身份管理（Cloud Identity Management）在實務操作中仍存在重大漏洞，可能導致資安事件、合規違規或帳號被濫用風險 。
2. 控管漏洞類型涵蓋多面向：雖未逐一列出所有類型，報導暗示控管失效涵蓋身份驗證、權限管理、存取控制及審計追蹤等面向。一旦這些基礎控管未建立或被忽視，將削弱零信任、安全治理與法規遵循能力。

根本原因與結構性挑戰

1. 過度依賴預設設定：許多企業依賴雲端服務預設權限與控管，也未實施嚴格的條件存取（Conditional Access）或強制多重驗證（MFA）。結果出現權限過度鬆散、弱密碼、單因素認證未開啟等基本缺陷。
2. 權限擴散與身份疊床架構：由於缺乏完整、動態的身份與權限資產清單，許多帳戶持有不必要或過期的存取權限，增加攻擊面。資安團隊對於人員變動、新增子系統、API 任務帳號等缺乏即時清查與撤權機制。
3. 缺乏可量化風險評估及稽核：部分企業尚未導入持續監控與授權稽核工具，對身份使用狀態、異常登入、權限變更都無自動偵測。也無完整身份審計記錄，影響內部稽核與法遵稽查能力。

這些結構性問題削弱了雲端身份安全的整體防護能力，導致高風險漏洞普遍存在。

改善策略與實務建議

報導雖未列舉具體工具，但可根據識別控管失效項目，採取下列建議：

1. 建議一：建置身份資產清單與權限稽核機制：建立完整帳戶與 API 身份清單，定期分析使用頻率、權限必要性與人員變動，調整或移除未使用或過度授權帳戶。
2. 建議二：強制啟用多因素驗證與條件存取：針對所有高權限帳戶、外部登入來源、敏感資源存取，實施 MFA 和條件存取策略，減少憑證被盜導致的損害。
3. 建議三：導入持續監控與異常偵測流程：部署自動化工具分析登入行為與角色異常，觸發警告和封鎖未授權存取，確保及時響應。
4. 建議四：與合規標準對齊，依照 ISO 27001、SOC 2、PCI DSS 等標準審視身份控管流程，建立合規落實機制，以符合審計要求。

透過上述措施，企業可顯著降低平均 40 項控管漏洞並提升身份安全成熟度。

議題反思與應用

對應用軟體開及雲端服務提供商而言，此篇報告對身份安全的洞察極具參考價值：

1. 建立身份安全第一歩：多數台灣企業尚未全面強化 IAM 架構，此報告可作為導入計劃的警示教材。
2. 產品內建安全設計：開發雲端應用時可內建 MFA、最小權限設計、可視化審計等功能，提高產品競爭性與合規能力。
3. 提升客戶信任：若企業通過身份安全控制能力驗證與認證，更易獲得國際客戶信任，拓展亞洲市場。
4. 配合資安法規與產業標準：例如金融、醫療、政府單位對身份控管有嚴格要求，業者應將本報導洞察融入合規流程設計中。

總結

Unosecur 針對 50 家企業所做的雲端身份安全診斷顯示，幾乎所有企業存在嚴重控管錯失，平均每家高風險項目達 40 項以上。此次報導提醒台灣應用軟體業務、服務商與使用者，必須從帳戶治理、權限管理、強制驗證、行為監控與稽核合規著手，建立可伸縮的、安全成熟的雲端身份管理策略，以面對日益升高的身份攻擊與合規挑戰。