Technology and Trends

數位轉型（Digital Transformation）成了疫情下最夯的名詞，為了維持內部運作，不少企業紛紛擁抱數位工具，在面對疫情封城、遠距辦公的新常態生活中找出解決之道。但也因企業紛紛以雲端、聯網等數位工具啟動數位轉型之路，讓內部的資訊安全面臨到空前危機。 剛結束的Rome Cybertech Europe 2022資安會議、義大利航太高科技集團Leonardo的執行長Alessandro Profumo就在開幕致詞時表示，2021年全球因駭客攻擊損失將近6兆美元，而他更將近兩年出現的資安威脅的矛頭指向於疫情的爆發與加速數位化之緣故。 強化半導體資安，支援半導體供應鏈從自動化到「智動化」 「當設備聯網後確實會產生許多資安疑慮，」SEMI全球行銷長暨台灣區總裁曹世綸如此觀察，特別是國內正逐步走向高科技製造業，疫情之下不少半導體業者的設備都從自動化走向智能化，尤其半導體產業的上中下游合作緊密，若資訊的傳遞安全稍有閃失將造成嚴重的後果，特別是疫情的催化讓全球不同的應用領域都迫切需要半導體技術的支持，更強化了半導體資安的重要性。 半導體資安防禦的關鍵：從「管理」下手，定期檢視、時刻保持警覺 對此，就以全球晶圓製造的龍頭台積電來看，不僅設立了企業資訊安全組織，規劃及制定公司資安政策與執行辦法，更藉由政策的執行與法規遵循查核，持續檢討資安風險控管機制的有效性，確保客戶與合作夥伴的利益。SEMI半導體資安委員會主席暨台積電企業資訊安全處長屠震於2021年底參與國際半導體產業協會（SEMI）所舉辦的SEMI Talks領袖對談時就曾經表示，多數的資安問題其實是可以被避免跟減少的，端看企業跟使用者是否有高度敏銳的警覺心。 他進一步指出，企業資安的關鍵是「管理」，需要持續評估存在的風險，同時研究資安技術與方案，畢竟駭客手法也與時俱進、作為企業資安人員也不得不防、更別冀望一勞永逸地解決方法；同時，網羅具備安全管理、安全架構甚至是應用程序方面的半導體資安人才，也相對重要，即使目前市場上常用雙因子認證的方式做到多重的防護，但百密總有一疏，使用者應保持警惕，避免訪問任何來路不明的商業網站或線上服務，大開企業資安的漏洞。 為了打造更安全的環境，SEMI半導體資安委員會主席暨台積電企業資訊安全處長屠震也讚譽台灣的PKI（Public Key Infrastructure，公開金鑰基礎建設架構），而健保卡正是其中的應用，其中的基礎架構因為是由官方機構打造的物理驗證，因此能大幅降低中間駭客的攻擊，同時、這樣的基礎建設也能提供內容加密，對於未來發展數位簽名等應用，有助於加速社會在安全的資安情況下迎向數位轉型。 制定半導體設備資安標準，減少駭客攻擊弱點 正因為半導體產業的上中下游合作緊密，如果其中一個環節遭受到攻擊，將可能中斷整個產業鏈的運作，因此SEMI發揮全球產業協會平台的角色，攜手台積電一同成立SEMI半導體資安委員會，希望能彼此共享經驗與戰略，提升供應商與產業供應鏈的整體安全，同時構建具韌性的供應鏈，促進產業提升網路安全意識及了解其重要性，「更重要的是向世界證明台灣在半導體的地位是有能力制定產業共同標準的。」SEMI全球行銷長暨台灣區總裁曹世綸說。 如今，耗時三年終於誕生了台灣首個半導體晶圓設備資安標準SEMI E187，針對機台設備的電腦作業系統、網路安全、端點保護及安全監控等層面進行標準制定，確保產業鏈上的機台採用相對新穎的作業系統、維持正確設定避免增加駭客的攻擊弱點。SEMI全球行銷長暨台灣區總裁曹世綸表示，為全面提升半導體產業資安防禦，SEMI與SEMI半導體資安委員會將積極投入SEMI E187 標準的導入與實務操作，致力協助全球供應商充分瞭解標準內容，並生產出符合半導體製造要求資安規格的設備。 同時，SEMI半導體資安委員會首屆主席暨台積電企業資訊安全處長屠震，也點出了4個重要的任務：第一，積極協助產業導入半導體資安標準SEMI E187；第二，持續推動資安意識的宣傳；第三，有效評估供應鏈網路安全態勢；第四，積極建構半導體供應鏈資安評估的框架、建立長久資安策略。 半導體資安理想大未來－追求Zero Touch的世界 「我希望能迎向一個Zero Touch（零接觸）的世界，」屠震說出了心中對於產業資安的遠景，他認為每個設備、使用者都應該要回到最單純的任務，讓設備專心製造、讓手機能暢通無阻，而不是不停更新軟體協助提升資安防禦能力，讓設備軟體負擔更重、運行更慢，也不需要打擾跟影響終端使用者的生活方式。 或許這不是短時間內可以實現的世界，但SEMI全球行銷長暨台灣區總裁曹世綸認為，透過協會跟業界的合作努力，打造出共同標準的規格，一起將國內半導體產業甚至是全球高科技製造業的資安全面升級，即便駭客無所不在，但在智慧製造的時代下，相信能更有效的強化產業的安全防護網，「數位的韌性及適應能力也將是未來企業在面對資安挑戰下不可或缺的一環，」他說。 半導體資安議題備受矚目，SEMI國際半導體產業協會即將於今年9月14-16日於南港展覽館1館舉辦SEMICON Taiwan 2022國際半導體展，再度規劃資安主題專區以及資安趨勢高峰論壇，邀請來自產業界與半導體資安領域的專家，透過對談、交流帶出目前業界重要的資安相關話題，分享實務經驗以及最新趨勢，若想了解更多資訊請見SEMICON Taiwan官網：https://www.semicontaiwan.org/zh 【延伸閱讀】半導體是什麼？晶片產業一次看懂 立即閱讀 About SEMI SEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過2,500多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展 SEMICON Taiwan 國際半導體展不僅匯集全球具影響力廠商、人才和技術，創造新市場機會，更是台灣最國際化且唯一的半導體專業展會。 SEMICON Taiwan 2022 | 9月14-16日 | 台北南港展覽館一館 | 了解更多

半導體元件是絕大多數現代科技應用的大腦與心臟，不管是人工智慧(AI)、5G或物聯網，甚至是我們天天都會用到的手機、電視、PC及各種家電產品，都離不開半導體元件。因為半導體，台灣得以在全球科技供應鏈中扮演舉足輕重的角色，台灣的經濟跟產業發展，也跟半導體產業的榮枯，有著密不可分的關係。對於這樣一個重要的科技跟產業，您有多少了解呢？ Table of content半導體是什麼？半導體元件：IC的最小單位，有如半導體的「細胞」常見的半導體材料半導體產業的重要關鍵：半導體製程半導體產業發展與台灣半導體的產業影響力全球半導體設備及材料市場概況半導體產業的ESG永續轉型 半導體(Semiconductor)是什麼？半導體已經深入你我的日常生活，從手機、電腦到各種家電，乃至我們看不到卻天天在用的雲端應用服務，都是以半導體元件作為核心。半導體是一種具有特殊物理性質的材料，電導率介於導體和絕緣體之間，可藉由外部施加電壓來改變材料的導電能力。我們常見的半導體，在不施加外部電壓的情況下，是不導電的；若對材料施加電壓，原本不導電的材料會變成導電材料，讓電流得以通過。半導體應用最早是環繞在「材料可以自由切換其導電與否」的特性發展出來的，多數現代電子產品的核心單元就是利用半導體的電導率變化來處理資訊。由半導體材料製成的積體電路(IC)，透過控制電流的通行或阻斷，在電腦中執行邏輯運算。 半導體元件：IC的最小單位，有如半導體的「細胞」半導體是一種材料的總稱，半導體元件則是使用半導體材料製作出來的元件。那麼，半導體元件又有那些最基本的分類呢？答案是兩種：二極體(Diode)與電晶體(Transistor)。半導體元件可以視為一種開關，而開關則可以進一步細分成「單向開關」跟「雙向開關」兩種。二極體跟電晶體之間最大的區別就在於：二極體是單向開關，即便開關打開，也只有單一方向的電流可以通過；電晶體則是雙向開關，只要開關打開，兩個方向的電流都可以流通。因此，對於設計IC這類複雜電路的工程師而言，如何在電路裡面巧妙地對電晶體跟二極體進行排列組合，實現設計人員想要的功能，就是最基本的能力。 常見的半導體材料1.元素半導體 - 矽(Si)半導體材料種類繁多，我們最常聽到、應用也最普及的，是基於矽的半導體。矽是地球上隨處可見的元素，不僅容易取得且價格低廉。這使得矽在發展半導體技術初期便自然而然地成為主流材料，直到現在仍是最具商業應用影響力的半導體材料。 2. 化合物半導體(Compound Semiconductor)由化合物構成的半導體材料，其中化合物通常由兩種以上元素的原子構成，依構成的元素不同，具備不同的材料特性。2-1 砷化鎵(GaAs)：電子移動率比矽更快，具高頻特性，且耐高電壓、高溫。特別適合應用於需要極高開關速度的元件，例如射頻(RF)元件，在5G時代有極高的發揮空間。2-2 氮化鎵(GaN) 、碳化矽(SiC)：這兩個寬能隙化合物半導體，都具有比矽更高的操作頻率，而且因為能隙更寬，可以耐受更高的電壓，所以在大功率傳輸應用方面被視為極具發展潛力的新秀，也因此在電動車爆紅之後，進入大眾視野成為熱門科技關鍵字。 半導體產業的重要關鍵：半導體製程半導體製程或許是一般人最常聽到的半導體術語之一，尤其是製程節點(Process Node)，例如28奈米、7奈米等。但半導體製程一詞，其實涵蓋了製造IC的一整個流程、數百道加工步驟。半導體製程步驟可以粗分成微影、蝕刻、沉積、摻雜與平坦化等實際在晶圓上製造出電路的製程步驟，以及穿插在這些步驟之間的清洗製程，統稱為前段製程。晶圓製作完成後，還需要經過切割、測試、封裝等後段步驟，才會變成我們所看到的晶片。 半導體製程-晶圓尺寸為成本關鍵半導體製程中最花時間的就是前段製程。一張空白晶圓從投片到生產完畢，短則數十天，長則超過一百天。因此，一片晶圓上能製造的晶片數量越多，理論上生產效率就越高，成本也越便宜。 要在單一晶圓上生產更多晶片，有兩種方法。一是用更大尺寸的晶圓來生產，另一個則是把晶片尺寸做小，讓一片晶圓上可以塞進更多晶片。但前者會涉及到十分複雜的製程控制問題，設備投資也極其昂貴，因此在晶圓生產線進入12吋世代後，遲遲未能走向18吋世代。因此，製程微縮變成現階段提高晶片生產效率、降低成本的主要方式。把電路做得更細小，意味著晶片的尺寸也會跟著縮小，從而能在一片晶圓上生產出更多晶片。 半導體製程-先進製程與成熟製程的劃分所謂的先進製程，就是指可以把電路做得更細小的製程技術。但隨著科技與時俱進，先進製程的定義也是不斷改變的。目前業界通常將10奈米以下視為先進製程，10奈米以上則稱為成熟製程。【延伸閱讀】先進製程領軍：全面剖析半導體產業突破摩爾定律的極限 立即閱讀 半導體產業發展與台灣半導體的產業影響力電晶體及積體電路發明半導體產業的誕生與茁壯，跟電晶體及積體電路的發明，有密不可分的關係。1947年貝爾實驗室製造出人類第一顆電晶體，讓收音機、計算機等電子產品的微型化成為可能。在這個基礎之上，德州儀器(TI)的基爾比(Jack Kilby)與快捷半導體公司(Fairchild)的諾伊斯(Robert Noyce)各自發展出將電晶體等電子元件整合成單一裝置的IC製造方法，決定了今天積體電路的樣貌。 摩爾定律1968 年， 諾伊斯與摩爾(Gordon Moore)等人共同創立英特爾，這家以IC設計、製造為核心業務的公司，迅速發展成微處理器的霸主。其後，摩爾在英特爾產品的演進過程中觀察到，由於製程微縮的緣故，晶片上整合的電晶體數量，每隔18~24個月就會增加一倍。這個觀察發現，後來成為引領半導體產業發展數十年的「摩爾定律」。 如今，為了滿足多樣化的運算需求，現代的微處理器已經走上分歧發展的道路。除了泛用性最高的CPU之外，還有專門用來處理圖形運算的GPU、執行數位訊號處理的DSP等專門為了執行特定任務而設計的微處理器。 晶圓代工模式誕生-台灣積體電路製造公司(台積電)晶圓代工模式的誕生，是半導體產業發展上的另一個重要轉折。1986年，為培植台灣本地的半導體產業，政府決定由工研院主導，與荷蘭飛利浦共同成立一家專門從事半導體製造的公司，並交由時任工研院院長的張忠謀負責。這家公司就是如今叱吒全球半導體製造市場的台積電。 台灣擁有最完整的半導體產業聚落台積電的誕生，標誌著半導體的設計跟製造可以分割開來，實現專業分工。半導體產業的進入門檻，也因為IC設計模式的出現而降低，讓半導體產業能進一步蓬勃發展。而在台積電的示範下，不僅製造端，下游的封裝測試很快也走向專業分工的道路，並且在台灣形成完整的產業聚落。如今，在台灣這片3.6萬平方公里的小小土地上，已匯集了設備、材料、晶圓製造、封裝測試與IC設計產業，成為世界上密集度最高，運作最具效率的半導體產業族群所在地。專業分工是目前半導體產業的主流方向。因為專業分工，每家廠商可以集中所有資源，把自己選定的市場跟技術發展到極致，從而獲得競爭優勢。半導體產業是一門極專業的科技，唯有專注才能成就卓越，台積電的7奈米、5奈米與3奈米製程不僅準時推出，而且性能、良率都優於競爭同業，就是最好的例子。 全球半導體設備及材料市場概況半導體應用的蓬勃發展，使得半導體製造成為一個巨大而且深具戰略意義的產業。除了半導體製造之外，相關支援產業如原物料、化學品及設備，也是半導體製造業不可或缺的區塊。半導體材料包含：矽晶圓、各種化學品與氣體，以及導線架等封裝材料三大類，其中又以矽晶圓占比最大。根據SEMI的統計數據，2021年全球半導體材料市場營收成長15.9%，達到643億美元，再度刷新了2020年創下的555億美元紀錄。(詳見完整新聞稿) 半導體設備方面，據SEMI公布的全球晶圓廠預測報告(World Fab Forecast)，2022年全球前端晶圓廠設備支出總額將較前一年成長18%，來到1,070億美元的歷史新高，繼 2021年成長 42%之後，已連續三年大漲。(詳見完整新聞稿) SEMI 為一全球化的半導體產業協會，自 1986 年以來，通過各種數據收集計劃與 SEMI 會員密切合作，持續追蹤半導體設備、材料市場動態，為全球半導體產業提供及時的市場洞察。SEMI 的市場研究報告擁有超過 1,000 家客戶，包含設備製造商、設備供應商、材料供應商到研究和金融機構，為值得信賴的市場數據來源。欲進一步了解SEMI市場報告相關服務，請見產品官方網頁 半導體產業的ESG永續轉型在ESG浪潮的推波助瀾下，整個科技供應鏈都肩負進一步降低碳排放量，最終達成淨零碳排目標的使命。因此，ESG永續轉型也將是半導體產業發展的必然趨勢。除了擴大採用再生能源，讓半導體製程中所使用的電力也變「綠」以外，如何在半導體元件製造過程中更有效率地利用化學品和耗材等資源，也是產業很早就開始努力的方向。半導體產業供應鏈以SEMI作為凝聚產業共識的平台，制定出一系列產業標準，力求減少半導體製造過程中的資源用量，更進一步導入循環經濟的概念，將製造過程中所使用的資源盡可能回收再利用，並獲得巨大成果。【延伸影片】台積電如何兼顧永續目標及先進製程材料｜策略材料領袖對談 立即觀看 【延伸閱讀】ASIC客製化晶片崛起，微軟、谷哥及亞馬遜紛紛搶進？認識未來AI運算力的神隊友 立即閱讀【延伸閱讀】工業4.0大全，從淺到深一篇搞懂它！ 立即閱讀 結語半導體是一個龐大而複雜的產業，為了讓產業鏈裡成千上萬名成員能順利協作，共同推動產業向前邁進，一個匯集各方意見、凝聚共識，並適時代表產業向外發聲的產業團體，是必要的存在，也是SEMI 長期扮演的角色跟使命。 【SEMI 大學熱門套裝課程推薦】半導體世界概論矽晶片產業認知訓練半導體化學品安全課程 About SEMISEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過3,000多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展SEMICON Taiwan 國際半導體展不僅匯集全球具影響力廠商、人才和技術，創造新市場機會，更是台灣最國際化且唯一的半導體專業展會。SEMICON Taiwan 2026 | 9月2-4日 | 台北南港展覽館一館 二館 | 了解更多

資安威脅無所不在，駭客攻擊目標從以前集中於政府、金融機構，現在的頭號受害者則是製造業，供應鏈攻擊層出不窮，半導體產業亦無法倖免。為更有效提升產業供應鏈安全，催生出台灣首個半導體晶圓設備資安標準 SEMI E187 - Specification for Cybersecurity of Fab Equipment（以下簡稱SEMI E187)，同時也是少數由台灣主導制定的全球性產業標準之一。 SEMI台灣半導體資安委員會主導，訂定SEMI E187標準 SEMI E187標準的制定耗時3年，由SEMI國際半導體產業協會轄下的半導體資安委員會，結合產業鏈上中下游、大學、工研院等機構的力量所完成。其中，台積電扮演關鍵角色，以其採購機台設備之多、於半導體產業地位之動見觀瞻，影響力十分強大，許多半導體、資安領域的國內外企業紛紛響應加入，共同參與半導體設備資安國際標準的制定。 這項標準為何重要到讓半導體業界大動員？睿控網安（TXOne Networks）執行長、同時也是SEMI台灣半導體資安委員會成員的劉榮太說：「這項標準的建立，猶如建構了一套信賴機制，半導體業者可以相信供應商交出的設備是安全的。」SEMI E187使全球半導體設備的資安防護設計有標準可依循；企業在採購設備時也能據此釐清資安要求，避免設備成為資安罩門。 SEMI E187標準主要是針對機台設備的電腦作業系統、網路安全、端點保護、資訊安全監控等層面制定標準。「簡單來說，這個標準規定機台不能藏有病毒；必須採用相對新穎的作業系統；各項設定要正確無誤；不要開啟不需要的服務，避免增加攻擊弱點；以及機台要提供加密管道，不能採用危險的明碼傳輸等，」劉榮太歸納這些要求的目的，「供應商必須提供可以防護的機台。」 打造安全設備，台灣半導體設備商可望突破外商壟斷！ SEMI E187已於今年（2022）1月正式推出，為了進一步落實此項標準，SEMI台灣半導體資安委員會投入大量心力進行條文的詳細解釋、實務工作程序的建立，協助全球供應商者在充分了解標準內容後，製造出符合半導體製造業要求的設備。 劉榮太指出：「台灣半導體產業在全球的重量級地位已是毋庸置疑，因此這個標準推出後，全球設備廠商，包括美日業者都急於從SEMI得到詳細資訊，想要知道這個標準對於他們未來交付機台有何影響。」去年（2021）台灣半導體晶圓廠的設備投資金額約為新台幣7千億元，其中有6千億元是採購國外設備。 「在外商幾乎壟斷台灣半導體設備市場的情況下，我認為『資安』可以是台灣設備廠商的突破點」劉榮太指出，當各家機台的其他規格皆符合採購方要求時，誰在資安方面做得更好，誰就更有希望拿下訂單，「SEMI E187由台灣制定，我們的說明會也是先從台灣開始，所以台灣設備業者能較其他國家業者更快拿到第一手資訊，值得好好把握。」 SEMI台灣半導體資安委員會 4子群各司其職，持續投入資安改善 針對半導體產業的資安改善， SEMI台灣半導體資安委員會長期投入，設有4個子群，分別是：參考架構的提出、資安認知的推廣、供應鏈的資安態勢評估，以及其他產業資安標準的觀察及擷取。 「針對SEMI E187要求半導體設備需採用相對新穎的作業系統，負責參考架構的子群，要提出目前有哪些作業系統較為適合，」劉榮太進一步說明。 資安認知的推廣方面，主要工作為發布季度報告，讓會員了解重大資安事件及防護新觀念，此外還要舉辦說明會及研討會等，透過各種管道強化業者的資安意識；供應鏈的資安態勢評估方面，則是透過問卷調查、分析工具的使用，協助廠商了解自己的資安風險。 針對其他產業資安標準的觀察及擷取，劉榮太說明，此一子群主要評估其他資安標準，例如美國的NIST CSF 資安框架等，是否有半導體產業可以借鏡及直接擷取的部分，避免「重新發明輪子」的徒勞無功及浪費時間。 睿控網安（TXOne Networks）執行長劉榮太，同時身兼 SEMI 台灣半導體資安委員會成員。 「經由這4個子群的任務分工，半導體資安委員會採用現成可行、內化、評估、新納入等4種方法，持續優化半導體產業的資安能量。」劉榮太說。 SEMI半導體資安委員會於2021年成立，參與成員包含台積電、台灣應材、日月光、鴻海、微軟以及思科等大廠。期盼在近年網路威脅日益嚴峻的情況下，整合產、官、學、研力量建立有韌性的半導體供應鏈，全面實踐產業的資訊安全。 同時，SEMI也將於今年9月登場的SEMICON Taiwan 2022國際半導體展中舉辦半導體資安趨勢高峰論壇，面對資安威脅攻擊變化百態，情勢也更加難以預測，特別邀請產業專家分享半導體資安指南、供應鏈數位韌性，更以實例助企業提升供應鏈生態圈的資安防護等議題。

What could happen? Are you ready? January 2022 saw the launch of the new security standard SEMI E187—Specification for Cybersecurity of Fab Equipment. SEMI E187 defines the overarching and fundamental cybersecurity baseline requirements to secure semiconductor fab equipment by design and support security protection in both operation and maintenance. This new baseline standard affects entities who provide equipment or services to semiconductor fabrication plants such as equipment suppliers and system integrators. SEMI E187 releases after what could be described as the year of supply chain attacks, with software supply chain attacks tripling in frequency. While the SolarWinds supply chain attack grabbed most of the headlines, other major attacks in 2021 included Microsoft Exchange Server, Colonial Pipeline, Kaseya, Log4j, Codecov, and ua-parser-js. In each incident, one single breach, compromise, or vulnerability exploited the software supply chain process and led to multiple—sometimes thousands—of victims. "To succeed, SRM leaders must: Use automation to augment and accelerate processes and activities. Gain a better understanding of the expanding attack surface. Embrace as-a-service security capabilities." -Gartner Responsibility no longer solely rests on the suppliers. Buyers and fab operators must now follow stricter security procedures prior to purchase, deployment, and operation. While SEMI E187 represents the baseline cybersecurity requirements, it is strongly advised to leverage 3rd party security assessments and as-a-service cybersecurity vendors to significantly reduce risk and harden defenses. Here is a quick start guide to help streamline your process. Computer Operating System Security Requirements While the OS requirements state suppliers shall not ship equipment with an end-of-life OS, equipment contracts are often longer than the life of an operating system; therefore, we recommend that all equipment run on an OS that is at the very most 2 years old. We recommend you hire a 3rd party security service to evaluate the supplier’s documentation and process for upgrading and patching software. Currently, there is no way to automate this as each ICS is unique and faces its own challenges when confronting the downtime necessary to do this. As equipment contracts are often longer than an operating system, a situation could occur where the equipment supplier would no longer be able to provide updates as the operating system reached its end-of-life date in the middle of the contract term. Therefore, the continuous monitoring and hardening of both your endpoints and network are still required to ensure the security of not only your digital environment but those of your partners in your supply chain as well. Leveraging cybersecurity solutions offering Detection and Response technologies coupled with continuous digital forensic capabilities help reduce risk through the continuous monitoring of your endpoints and network. Network Security Requirements The network security requirements cover basic security measures that should always be taken. In addition to assuring ports are properly assigned to default—HTTPS on 443, SFTP/SSH on 22—be sure to monitor network traffic to ensure packets aren’t traveling in clear text. Threat Intelligence Gateways allow organizations to monitor north/south traffic and should be able to block outbound traffic heading towards known malicious IPs or C2 servers. These requirements also require documentation. Be sure your retained 3rd party security service not only evaluates the supplier’s documentation and process for upgrading and patching software but also network configurations, including network protocols/ports. Due to the unique architecture of your ICS, automating this process would be more difficult than hiring experienced human analysts—particularly when it comes to the required downtime for equipment software upgrades/patching. Ideally, your 3rd party security service should be familiar with ICS as well as the semiconductor ecosystem and supply chain. Endpoint Protection Requirements Although suppliers will perform vulnerability assessments and malware scans as well as provide documentation of this, it is strongly recommended that buyers/operators perform these cybersecurity assessments again prior to purchase, deployment, and operation. Instead of separate waves of security assessments, Detection and Response solutions could perform continuous digital forensics, providing operators with continuous visibility and insight into each step of the deployment process. To save time in researching Detection and Response vendors, we recommend retaining a MITRE ATT CK evaluated cybersecurity vendor as their opensource results will help reduce the time for your selection process. Cybersecurity solutions from various vendors don’t always get along and could potentially cause integration problems—especially in ICS environments. Anti-malware (NGAV) solutions that come integrated into a turnkey MDR solution could be one way to circumvent this challenge. Disabling input/output interfaces and unused operating system utilities help to limit the attack surface and reduce risk. That risk includes multiple kinds of threats, such as insider threats. Whether intentional or unintentional, insider threats are very real and could easily bypass even the most sophisticated security systems. Reducing attack vectors and your attack surface— such as by disabling unused operating system utilities and services—eliminates commonly exploited attack vectors leveraged by attackers. AD-focused scans and AD critical path visualization tools don’t support segregation of duties but do help your SOC/IT team visualize them. Reducing the number of high-privilege accounts as well as their access burden attacks, prolonging their attacks, and increasing the probability of detection. No system is impenetrable. Failsafe solutions such as Detection and Response or Continuous Digital Forensics are becoming more commonplace in enterprises and organizations worldwide as preventive solutions continue to be bypassed. However, not all cybersecurity vendors have experience—or tested their solutions—in ICS environments and equipment. Security Monitor Requirements While event logs can be monitored by a SIEM solution, the manual workforce necessary to maintain this can be extremely exhaustive. In the event of an attack, manually correlating billions of event logs—let alone directly responding to the attack—is not feasible. Instead, we recommend a lightweight Detection and Response agent capable of both recording event logs and performing automated continuous scanning and monitoring of your digital environment for malicious activity. Continuous Digital Forensic cybersecurity solutions are capable of correlating event logs and mapping out the attacker’s attack path, giving you insight into their activity, their objectives, and how to best respond.

文／吳明璋 韋萊韜悅企業風險管理與經紀服務資深協理 就一般人的印象，國際資安標準不是充滿複雜難懂的條文，就是為了客戶或政策要求下而推動。自標準 ISO 27001 公布後，新一波國際資安標準紛紛出爐，也成為國內各大資安研討會的主題。在數位韌性（Cyber/Digital Resilience）的趨勢下，到底高階主管如何從管理意涵理解最新的資安標準？為了和過去資安標準有所區隔，以下就簡稱為數位韌性標準。 如何溝通資安標準的管理意涵，一直是作者推廣資安標準的主軸。BS7799是作者取得第一張資安證照，於2004年協助技術服務中心推動政府Ａ級單位認證之專案。當時，政府機關率先取得英國國家資安標準BS7799認證，以達國際資安合規水準。隔年，BS7799改版更新成為 ISO 27001。以下就參與評量顧問、標準制定與本土化手冊評審之經驗，分享這幾年實務應用的心得與體會。 國際資安標準形形色色，本文簡述各種標準的內容，提供董監事、公司高階主管與資安管理者參考。 數位韌性是進行式 在過去「資安 1.0」時代，資訊（資安）人以技術面管理為主，以因應地域性電腦病毒的攻擊。2014年，Gartner報告探討新資安典範移轉的重要性，甚至大膽提出「預防無用論」（Perfect Prevention is Impossible）觀點。面對後疫情國際駭客攻擊，企業宜採納數位韌性的國際實務，以因應防不勝防的「資安 2.0」挑戰。尤其在後疫情時代，數位韌性成為企業推動數位轉型之基石。 標準的管理議題 一般人可能會有疑問：資安不就是執行那些會被稽核的控制點？為何還要研究這些數位韌性標準背後的框架，或是管理原則？ 以 ISO 27001 為例，該標準採用為人熟知的PDCA管理原則：計畫（Plan）、執行（Do）、查核（Check）、行動（Act）。不同的數位韌性標準也有不同的管理原則，或特定須解決的資安議題。就作者的專案經驗，以下針對 NIST CSF、SEMI E187、IEC/ISA 62443 與CMMC，分析這些標準背後的管理議題。 NIST CSF 從2014年推廣至今，美國「國家標準技術研究所」（National Institute of Standards and Technology, NIST）「網路安全管理架構」產業標準（Cybersecurity Framework, CSF）已成為國際數位韌性的實務性標準。 CSF框架採用風險管理程序，並扣緊組織宣達資安決策與優先順序之安排。從企業策略的角度，思考組織資安風險管理之生命週期。從風險管理角度，組織或許會採取不同風險處置的方式，如減損、移轉、規避與接受，端靠企業關鍵性服務之潛在衝擊分析。最後，企業依據風險容忍度，可安排資安活動之優先順序。 SEMI E187 2022年由國際半導體產業協會（SEMI）公布最新機台資安標準 SEMI E187，重點為解決半導體機台安裝的老舊軟體（Legacy Software）問題。何謂老舊設備？舉例來說，室內裝潢時常被詢問是否更換管線。早期電線配置不見得符合最新的用電需求，可能會成為潛在電線走火的隱患。如果不在完工前一併解決，事後很難處理。表面上，管線更換看不到裝潢的效益，也是為數不小的一筆費用，但是為必要的支出。 老舊設備常見於工廠領域，但老舊軟體的資安問題容易被忽略，尤其是國外原廠設備。某基礎建施業者電力設備採用日本原廠，一旦設備需要軟體更新（Patch Updates）後須送回日本重新驗證。設備使用者嫌麻煩也不會去深究，就推說設備沒有資安問題。如果設備軟體沒有更新，等於是將產線門戶大開。一旦IT資安防禦被突破，駭客便可輕易長驅直入。 況且設備軟體屬於整體供應鏈的一環，單一廠商很難介入解決。在國內半導體跨界資安專家通力合作之下，這個標準可望解決這個棘手的全球供應鏈資安議題。 IEC/ISA 62443 針對工廠設備資安，國際自動化學會（International Society for Automation, ISA）。自2009年起，陸續公布工業自動化及控制系統 IEC/ISA 62443 系列標準的內容。 這個系列標準欲解決設備資安所有權（Cybersecurity Ownership）的問題：到底設備資安該由誰負責？公司IT、資安、設備使用者、採購，還是設備廠商？就像是上述半導體機台老舊軟體的問題，採購希望設備使用者提出設備規格條件；設備使用者認為這不是他的職掌或KPI績效指標，IT或資安才有專長；IT或資安認為生產設備不是由他們管理。因此，這個關鍵性資安議題成為三不管地帶。 IEC/ISA 62443 界定由設備使用者負責設備資安管理。從維護的角度，軟體更新是否為設備維護的一環？答案是肯定的。以前設備使用者只負責記錄通報硬體故障，並不負責軟體。該標準協助設備使用者釐清第三方服務提供者與整合服務提供者的角色與任務。其次，資安管理系統（Cyber Security Management System）、工廠資產盤點、工廠資安架構（如Reference Model）、設備資安風險評估與軟體更新流程等都是工廠亟須建立的資安管理機制。 CMMC 2019年，美國國防部正式宣布網路安全成熟度模型驗證（Cybersecurity Maturity Model Certification, CMMC）1.0版本，成為要求承包商遵循的資安標準。延續軟體能力成熟度模型（Capability Maturity Model, CMM），卡內基美濃大學依此成熟度原則發展出資安標準。 在17個領域、171個資安實務中，CMMC 1.0 版以五大成熟度層級、驗證組織資安流程與能力之執行。CMMC 2.0 版於兩年後推出，簡化成三大成熟度層級：基礎型（Foundational）、先進型（Advanced）與專家型（Expert）。基礎型評估為年度自我評估，先進型評估含自我評估與認可的第三方驗證，最後專家型評估由政府主導進行。CMMC 2.0 版與NIST標準彼此對照，以求呼應最新的國際資安實務。 企業資安態勢（Posture） 不管是在演講分享的場合，還是客戶的評量專案，作者常被問起如何為企業評量打分數，或是資安成熟度的問題。 在成熟度議題上，不同的數位韌性標準有各自的解讀。 NIST CSF 不強調自己在資安標準的成熟度評分，甚至陳述實施的四個層級不代表成熟度。縱觀國際第三方認驗證單位，數位韌性標準可做為產業成熟度（產業評比）或企業資安態勢（自我評比）的衡量基準。在產業成熟度資訊無法取得之下，企業以數位韌性標準作為自評工具為具體可行方式。 在這一波國際的主流討論，資安態勢成為業界應用推廣的焦點。何謂態勢？以身體為例，姿勢因人而異，但也有許多相關研究著重在姿勢與身體健康之關係。如果IT是企業的先天遺傳，資安態勢就是後天學習。透過數位韌性標準，評量企業資安體質的現況（As-Is），聚焦未來（To-Be）的輪廓，才能制定合宜的資安行動方案。 標準不只是標準 在法規或客戶的要求下，國內通過 ISO 27001 驗證的組織多半由IT部門先導入，頂多再加上研發單位與客戶在意的業務單位。在不熟悉數位韌性標準之下，IT通常會有類似的回應，IT都有做數位韌性標準的控制項。 這樣思維無形之中限縮公司資安風險盤點的範圍。以某國際3C代工客戶為例，IT部門強調他們已導入 ISO 27001。事實上，全公司僅有IT部門通過驗證，其資安風險的鑑別範圍局限於IT系統，並沒有包括工廠資安，更無涵蓋公司整體的資安風險。 其次，資安風險盤點也涉及到部門職掌。如前所述，CSF是從風險管理思維發展的標準。以某個客戶資訊部門資安主管為例，他強調CSF是管理框架，對於IT幫助不大；至於CSF提到的風險管理，由公司的風險管理委員會負責，他只在意IT有關的資安標準或指標。 因此，這一波新的國際資安標準不僅強調國內忽視的風險管理框架、老舊系統與所有權等管理議題，更開啟企業資安態勢之研究應用，驅動國際數位韌性最佳實務。 本文授權自作者，原文見此

元太科技身為電子紙產業領導廠商，不僅貼近時代脈動領導業界，在ESG永續發展經營的策略與規劃上，更有許多思考與作為。 上下游集結 GO GREEN 元太的電子紙目前獨佔市場，在電子閱讀器市場市占比很大，但與 LCD 及平板相比，市場相對較小。2021 年上半年，元太科技持續推出彩色電子紙技術，以加速電子書閱讀器、電子紙筆記本、電子貨架標籤與電子看板等產品的彩色化。 為了擴大電子紙市場，元太秉持開放態度和夥伴廠商合作，「我們還有 8 個夥伴廠商，都可以供應電子紙模組，」元太科技董事長李政昊希望 元太能夠在電子紙材料上一直不斷精進，採取半 導體市場 ARM 安謀模式，和合作夥伴一起做大市場。而與上下游的合作，便充分體現在元太供應鏈 的綠化上，無論是在 TFT、IC 或是材料上，元太積極集結上游或 Ecosystem 合作夥伴，鼓勵大家多多使用綠色材料，「我們賣的是一個綠色技術，如果自己本身的流程都不夠綠化，無法說服別人跟你一起 GO GREEN，這是未來企業的方向。」 元太的電子紙產品就是要取代ㄧ次性用紙， 這使得元太的產品本身就具備一個特色──技術比較綠色。而在全球 ESG 趨勢，元太開始思考 如何讓製造過程更綠化、更環保，李政昊表示， 閱讀器製造過程中使用的水電不多，可以回收利 用，持續再做，但還沒有到完美 Net Zero Carbon Emission（淨零碳排）的地步，唯現在的趨勢是往零碳排的方向走，ESG 基金的投資者或是銀行都比較願意放款給 ESG 的公司，客戶本身也希望產品是綠色的，「既然這是一個趨勢，元太一定要跟上。」 2017 年時，元太就是臺灣第一個買再生能源憑 證的企業，到 2020 年為止已大概買了全臺 40% 的再生能源憑證，甚至，在台積電加入購買再生 能源憑證之前，都是再生能源憑證購買企業第一名。對於名次的下滑，李政昊並不在乎名次，而是更重視元太能否樹立起典範讓其他企業跟隨，啟發其他企業在臺灣做同樣的事情，「元太會努力思考用更創新的模式去讓製程可以更綠化與環保。」於是，元太在原料端回頭檢視並尋找對環境更友善的材料；在製造端，也投入研究如何降 低電子紙上化學材料的毒性、可不可以回收等。 「元太還有太多可以做得更好的部分」李政昊說，例如，如何回收利用製造過程中的物料與廢棄物、工務車能不能換成電動車、公司的用紙可不可以降低、製造端外公司內部如何更環保等。 紮好 ESG 馬步 同時不斷創新 李政昊習於在第一步就把計畫做得更完整，再思考接續的策略與方法，他不高喊 2030、2040 達到碳中和的口號，只是在此目標下，把功課做得更紮實，同時不斷在執行的過程中思考︰未來，元太還能做什麼？ 事實上，元太的企業社會責任作為早就起步，大陸揚州廠已執行多年的「麥田計畫」為大陸偏遠小學學童送暖，並建立與修繕圖書館，增加圖書資源；美東波士頓廠區的同仁也長期投入在地 關懷的公益計畫；也在台灣推展「e 啟讀出未來」 建立電子書閱讀器行動圖書館計畫；元太更於 2021 年 5 月臺灣本土疫情爆發後，捐贈 4 座正壓 篩檢亭，其中一座則設於新竹科學園區首個篩檢站；臺灣缺口罩時，也聯繫全球的資源，從韓國 送口罩來臺灣，李政昊認為，企業做社會責任， 可以做得更有影響力，帶動其他企業，而這些作 為在在加深了同仁對公司的認同。影響所及，元太每一個子公司都在做在地回饋與關懷，「起初並不知道那是 CSR」李政昊說，日後國際大廠 都會有 ESG 的要求，宜趁早投入，「這也是一個機會，本來可能打不進去的供應鏈，如果環保做得好，說不定就有機會切入。」 外型斯文有禮卻喜顛覆的李政昊，一直很佩服亞馬遜負責人貝佐斯，而在他經營元太的路上， 也可見貝佐斯的影子，其中，創新影響他甚深。 「創新就是不斷去顛覆、勇敢去顛覆，不斷質疑自己之前做的，然後找到新的突破點去顛覆自己。」李政昊說元太捐篩檢亭是一個創新，因為當時沒有人想到；元太的技術，也正是不斷顛覆電子技術；元太決定授權 FFS 技術也完全顛覆公司過往的營運模式，最近顛覆的是提升電子紙材料的銷售，降低電子紙模組的業務，藉此降低與 Ecosystem 夥伴的競爭關係，共同擴大電子紙市場。多賣材料會打到自己的模組，如何去做並讓同仁在業績壓力下也願意嘗試，李政昊敢去嘗試、去傾聽別人想法，「不要一下子就否決別人的想法，這樣機會可能就會消失了。」李政昊認為創新能帶來機會，所以當元太不斷成長之際，他個人最大的挑戰是──要看得更廣，「能看得更廣， 就能從別的產業看到未來發展的可能。」 三大引擎全開 產能滿載 從臺灣第一個 LCD 面板廠，到最早進入電子紙市場，元太始終走著一條穩健而創新的路。因為發現書籍的數位化之路較之音樂與影音都相對緩慢，E Ink 電子墨水科技的出現，觸動元太開拓電子紙市場，「E Ink 電子墨水技術可以改善 LCD 不適合長期閱讀的缺點。」李政昊開宗明義地說︰ 「發展電子紙技術，主要須思考的是──如何提升競爭力，元太首先重新檢驗產品的定位和研發， 而後執行，執行後發現效果比想像中大，所以現在就在忙著擴廠。」這說來簡單的過程，卻是元太透過精實流程、公司治理，和董事及菁英團隊達成同一陣線，執行確保到位的成果。 2009 年至 2010 年時電子書閱讀器 （eReader ） 大爆發，元太目睹 eReader 在 iPad 問世後市場下滑，開始積極找尋新的產品，經過不斷嘗試，最後幸運地找到電子標籤，而後又搭上全世界佔最大 GDP 的零售產業數位化潮流，電子標籤因而成 為元太高速成長的業務。此時，元太也發現零售常需要降價，所以需要引人注意的色彩，於是在黑白之外加上顏色。李政昊表示︰「電子標籤一但導入就回不去了，且導入速度會更加速，因為它會加速營運，有了電子標籤可以限時、限點、限店做促銷，隨時改變價錢。」 與此同時，元太也在閱讀器加上彩色，使之速度更快並能播放影片。元太不斷回頭檢視並發展 eReader 成長之方，去年推出了 E Ink Kaleido Plus 彩色印刷電子紙，雖然不似 E Ink Spectra 系 列是用彩色電子墨水粒子去做顏色，但是對閱讀市場綽綽有餘，也帶動起 eReader 的市場，與電 子標籤成為元太雙引擎。過去元太製造的電子閱讀器多屬視覺閱讀器（visual reading），小說閱讀器就在歐美深受歡迎，未來如何從視覺閱讀器走向學校的書本，或是其他需要有顏色的書本， 比如旅遊書等等，讓滲透率更高是元太努力耕耘的方向。 近兩年元太的電子筆記本快速成長，成為元太第三個主力收入引擎，而在 eNote 應用崛起之後， 元太也不斷思考電子紙身處 IoT 趨勢中之可能應用。李政昊表示，元太的電子紙還有很多少量多樣化的應用，比如公車站牌、汽車車牌到行李標籤等，「這些應用都屬少量多樣化。」目前元太的電子紙材料生產線包括臺灣一條、美國一條， 今年產能都已滿，必須再擴充四條生產線，李政昊說︰「從市場和客戶的回饋看來，所有擴產客戶都能吃下來，對於市場發展，我們樂觀期待。」 觀看訪談影片精華

來自丹麥的沃旭，前身為DONG Energy，2017年從黑色傳統能源翻轉成為到綠色能源企業，並改名為「沃旭能源」，連續三年獲評為全球最永續能源公司，現在正持續朝2040年涵蓋供應鍊之整體碳足跡達到淨零碳排放的綠能轉型目標邁進。 沃旭能源台灣區總經理汪欣潔表示：「沃旭的願景是創造一個完全以綠能運作的世界，全球近75%的碳排量來自於能源使用，身為全球最永續能源企業，我們有責任協助產業邁入綠能轉型。」對此，沃旭在其最新發布的《2020年永續報告》中，便針對再生能源產業永續發展提出三項主要挑戰──供應鏈減碳計畫、加強保護生物多樣性、為社區創造共享價值。 永續發展三挑戰 供應鏈減碳是綠化再生能源價值鏈、實現淨零排放的重要關鍵。由於大部分的碳排放量都發生於供應鏈前期，主要在離岸風場組件製造、運輸、以及安裝的過程中，故汪欣潔說︰「沃旭希望供應商以後都使用綠電，目前北歐已經有使用綠色氫能完成綠色鋼鐵生產的案例，希望將這成功的實務經驗帶進台灣的供應鏈。」 加強保護生物多樣性則是一項挑戰，因為必須先有科學評的基準，做好基準後也必須和國際規範接軌。汪欣潔表示，沃旭致力於保護海洋生態，採用尖端工程技術，如「雙層氣泡幕」、「樁錘減噪阻尼」、「局部氣泡幕」等最新減噪技術，此技術也運用於建造大彰化東南及西南第一階段離岸風場；而離岸風場亦可幫助海洋生物創造新的棲息地及吸引新的物種，過去，沃旭也已有藉由建造風場創造新的人造珊瑚礁，吸引及培育魚類資源，並發現魚類物種數增加的實例。 而為社區創造共享價值是以符合在地社區效益的方式拓展綠色能源，這也是汪欣潔強調最重要的──能看到供應商合約、創造就業機會、帶動地方的活絡和繁榮。2021年4月22日地球日，沃旭在鹿港舉辦了第一屆「彰化風起-沃旭永續生活節」，讓民眾認識離岸風電、了解綠能和正在彰化的風場，更讓世界看見彰化，也讓地方民眾了解大彰化離岸風場創造的全新機會和價值。 多管齊下　實現永續發展願景 相較於國外離岸風電產業擁有完整產業鏈，台灣堪稱處女地，沃旭自2016年進入台灣市場以來，努力集結台灣一級供應商建造台灣最大規模離岸風場，發展在地供應鏈，全力輔助供應商提升技術能力。但因台灣的離岸風電產業人才嚴重不足，為此，沃旭開始以其長達30年累積的產業知識，運用全球資源傾力培育全方位在地人才。沃旭於過去五年來展開、推進六大核心人才培育計畫，包括招攬高技術密度的運維菁英團隊、風場專案的白領專才、培育新世代的「綠能獎學金」、「全球綠能菁英培訓計畫」及「電力人才培訓計畫」，以及在地化產學合作的領頭羊「沃旭-大葉離岸風電學徒制」。 其中，綠能獎學金自2019年舉辦至今已有25位得主，都在不同領域做相關研究。沃旭也針對供應商成立產業輔導基金，補助中小企業進行研發或是取得相關技術的認證。同時，沃旭捐贈百萬瓦級儲能系統給彰師大，並成立沃旭──彰師大智慧能源研究中心，「我們很願意拋磚引玉，目前這個設備已經在去年完工並順利使用中。」汪欣潔說。 另外，颱風也是沃旭參與台灣離岸風電產業格外注意的一環，沃旭特別從英國引進全球唯一應用於風能領域的雙都卜勒雷達系統。透過世界最先進的測風技術，蒐集並分析氣象參數，進一步研究颱風及熱帶氣候對離岸風場的影響。而蒐集的數據也將提供給台灣的研究機構，執行領先全球的風能研究的機會。 活絡綠色金融 首重穩定回報 多年來沃旭能源以企業融資的方式投入風場開發建造，身為在納斯達克哥本哈根證券交易所上市的公司，信用評等相當優異，汪欣潔表示︰「沃旭希望和本地金融機構建立更緊密的連結，協助台灣創造更活躍的本地綠色金融市場。」 一半是利用自有資金，另一半是透過綠色循環信用貸款，汪欣潔表示，沃旭希望透過RCF（Revolving Credit Facility, RCF，循環信用額度）進行綠色循環融資，讓官股銀行多多參與，從而了解岸場如何運作、如何評估。現今，沃旭能源在台灣取得中華信評的評等，汪欣潔對此深具自信︰因為沃旭技術掛帥，擁有30年風場建造經驗，財務穩健。她也強調，去年年底大彰化東南離岸風場50%股權，後來由國泰私募基金、加拿大魁北克退休金管理機構CDPQ( Caisse de depot et placement du Quebec）投資，「沃旭要找的是穩健的投資夥伴，我們重視的是穩定回報。」 風能委員會 推動產業可長可久的平台 很多國家都積極發展離岸風電，中國、日本、韓國、越南，美國在拜登政府上台之後更加速推展，根據國際風能組織(GWO)研究報告指出，預計若要於2020年至2024年間建置31 GW總裝置容量，平均1 MW就需要投入2.5個人力。(1GW=1000MW)，這意味著將創造很多就業機會，當經濟環境受疫情影響處於低微，綠能產業卻是蓬勃發展，缺工、缺人、缺料，加上很多大企業都在等綠電，身為第一屆SEMI風能產業委員會主席，汪欣潔說沃旭剛進入台灣時其實不被看好，沃旭期望透過更多、更好的建設性對話交流，讓彼此有更多了解，找到可以一起共榮共存的方式 ，「SEMI風能委員會成立的宗旨就是希望能加強與主管機關的溝通，加強供應鏈和價值鏈，委員會有25個會員，包括風場開發業者，本地國外的供應商，系統商、 運維業者、EPC統包業者等，希望我們的發聲能夠更好代表這個產業不同領域的意見，和主管 、學界、媒體還有公眾做正確資訊的傳遞，凝聚共識可以讓這個產業更加蓬勃發展。」 汪欣潔表示，沃旭經常被追問可否加速進度，此時，風能委員會就是一個介接供應和需求端交流的很好介面，相較其他的風能協會，這個組織的委員組成更加多元，包含供應面與需求面的角度, 可以更全面地提供產業意見。我們著眼當下議題，更關注如何發展出中長期穩定的產業環境，讓大家都可以更穩健地往前走，「我們希望離岸風電不是曇花一現，而是可長可久，成為台灣重要的發展基礎。」當各國都設立了積極的減碳目標，包括日韓都已經宣布2050年要達到淨零碳排，政府也很關注這個議題並想加速產業推進，「此時，產業應和主管機關攜手合作，我們希望結合風能委員會各界的力量，勾勒出更好的減碳藍圖，按部就班地來落實，讓大家看得到也做得到，共同朝目標邁進。」汪欣潔語重而心長。

能源轉型，綠電成趨勢，再生能源開發的業者一路從政府補貼走向市場機制，下一步該如何走？牽動全球經濟的發展，值此關鍵時期，工具機霸主朱志洋扛起重任，出任台灣綠電應用協會首屆理事長，靠的不只是根深蒂固的人脈和硬底子的工具機專業，還有對綠能產業獨到的擘畫以及打動人心的綠電願景，朱志洋直言，「能源轉型，綠電成趨勢」，再生能源開發業者從政府補貼走向市場模式，現在是最好的時機。　 坐擁95家公司、事業版圖遍布全球15國的友嘉集團總裁朱志洋，今年又新增了台灣綠電應用協會（Taiwan Association of Green Energy Transition，TAGET）首屆理事長的新頭銜。 從工具機業跨足綠能產業看似跨距很大，但很少人知道其實朱志洋與綠能產業淵源很深，多年前朱志洋也曾因看好綠能前景，有意赴中國投資太陽能電池模組廠，甚至連設備都已採購完成，但到最後一刻，他突然發現市場出現了過度投資的現象，擔心未來會供過於求，遂臨時喊卡，沒想到，不到三年，市場就真的崩盤了。 朱志洋掐指一算，從買完設備到投產至少得花二年多的時間，等於投產不到半年，市場就已經供過於求，現回想起來，他認為，市場崩盤的原因除了產能過剩外，政府減少補貼也是原因之一。 減碳成生活日常 朱志洋直言，以往再生能源的成本非常高，無法和正常能源做競爭，再加上回收期長，一投資往往得花十幾、二十年才能回本，於是政府的補貼成了綠電可以走下去的主要經濟來源，一旦補貼減少，需求就會跟著減少，甚至造成市場崩盤。 但現在不同了，在美國德州暴風雪、中國鄭州豪雨的演繹下，極端氣候所帶來的影響，愈來愈受到重視，有愈來愈多的國家及國際大廠相繼加入了實現碳中和的行列，繼歐美決定在2050年達到碳中和目標後，中國也在去年的聯合國大會上，做出「2060年前實現碳中和」的宣示，此外，包括谷歌（Google）、蘋果（Apple）公司等國際大廠也都加入碳中和的行列，不單在設備、製程、產品設計上，加入了減碳的概念，也連帶要求供應鏈必須要在既定時程內，達到減碳的目標。 不光是企業，近幾年就連消費者的意識也跟著出現變化，以前認為再生能源成本比一般用電價格高，會比較抗拒，沒有意願，但現在接受度已大增，「這意味著綠能市場由政府補貼走向市場機制的時代已經來臨。」「這是一個好趨勢，畢竟政府的補貼有限，也不可能長期補貼」朱志洋說出了自己的觀察。 對於台灣產業跟進綠電的腳步，朱志洋直言，「這部分我比較不擔心」，事實上目前也有多家大廠提出碳中和的概念，並喊出希望在2030年可以達到碳中和目標，甚至也有幾家銀行出面鼓勵企業做綠能的投資，並給予利率的減免。 朱志洋強調，可以預見未來減碳的措施勢必會愈來愈明顯，企業在排碳時也會愈來愈嚴謹，碳交易則會成為企業的生活日常。一旦大企業、中型企業，甚至連小型企業都有減碳的認知，屆時生產綠電所增加的附加成本，就愈能夠被市場接受。 創造多贏的綠電計畫，「精品級」綠電上路 伴隨著綠電市場機制的趨於成熟，台灣綠電應用協會也開始著手為綠電鑲金，朱志洋不諱言，台灣綠電應用協會想做的就是綠電買、賣方的橋樑，不僅讓買的一方可以用合理的買價，安心的用電，就連賣的一方也可以保有合理的售價，享有適當的利潤，據此，台灣綠電應用協會推出了精品級的綠電計畫。 何謂精品級的綠電計畫？根據台灣綠電應用協會的定義，就是要做到對環境、在地社區、在地產業都友善，可以創造多贏的綠電計畫。 以往精品級的綠電計畫推動有其難度，在於以往採行的躉購費率講究的是均一價，沒有辦法因為綠能業者對環境、社區、產業多做了些什麼而多獲利，但隨著市場機制的成熟，綠能企業額外的付出，有機會獲得回報，但前提是企業要願意花更高的價格來收購其綠電，而誘因則來自於容許企業得以將購買高品質綠電的行為納入CSR（Corporate Social Responsibility，企業社會責任）或是ESG（Environment、Social and Governance，指環境保護、社會責任和企業治理的永續投資）的評估中。 為了彰顯綠電的真實價值（True Value），台灣綠電應用協會已著手規畫與日本JCLP（日本氣候領袖夥伴；Japan Climate Leaders Partnership）、美國REBA（美國再生能源買家聯盟；Renewable Energy Buyers Alliance）、中華經濟研究院（RE100）等國際組織合作，在台灣推動精品等級綠電認證制度「Green-E」，以促成完善綠電市場機制，期待在國際組織掛保證下，可以讓才剛起步的台灣綠電之路，可以走得更紮實、更平穩。

對台達電而言，2021年正好是公司創業半世紀，值得特別紀念的一年。50年前，台達電只是一家員工人數僅15人，坐落於小工廠林立的新莊的小公司。如今，台達電已成為據點遍及全球五大洲，員工超過8萬人的世界級電子業者；產品布局亦從電源相關零組件拓展至各種系統級解決方案。 由於公司的主力產品一直都跟電源有關，因此，台達電從很多年前，就深知電的珍貴，並將公司的經營使命設定為「節能、環保、愛地球」，可說是台灣電子產業中，最早走上ESG這條道路的先行者。 用創新拯救地球是電力電子產業的責任 台達電董事長海英俊表示，公司創辦人鄭崇華對環保跟節能減碳的重視，在業內是相當知名的。作為一個技術人，Bruce（鄭崇華的英文名）一直很在意電源轉換過程中的損失，因為這不僅是浪費電而已，更會讓終端產品必須耗費額外的電力在散熱上。 因此，身為電力電子產業的一員，最大的企業社會責任是透過技術研發，提出各種可以提高能源效率的創新解決方案，這樣才能拯救地球。也因為Bruce的理念，台達電對於電源產品的效率一直有著極高要求，奠定了公司產品技術領先的基礎。 另一方面，創辦人對節能的重視，也反映在公司的營運上。自2006年在台南打造第一棟綠建築廠辦後，不僅新建的廠辦都是綠建築，既有廠辦也陸續透過翻修整建的機會，升級成更省電的綠建築。至今，台達電旗下的廠辦，已有29棟綠建築。 整體來說，台達電每年投入超過8%的營收於研發創新，並持續優化生產製程，鞏固在電源、散熱、被動元件的領導地位。藉由在研發創新上投資，追求更環保的產品與營運，已經是台達電企業文化的核心。 因此，在ESG風潮興起後，台達電很快就加入RE100倡議的行列，並承諾2030年所有營運據點100%使用再生電力。海英俊認為，這確實是一個很有挑戰性的目標，而且沒有捷徑，只能一步一腳印地做。 一方面，公司必須更徹底地檢視自身運作，找出可以進一步節能的地方，另一方面也要積極投資，除了購買綠電憑證、建置自發自用的太陽能電站外，也包含儲能、微電網及新的綠能來源，例如氫能等技術研發上的投資。雖然Bruce已經退居幕後，但對於節能、再生能源相關的技術發展，還是有著極大興趣。未來Bruce會持續指導台達電在這方面的發展方向。 落實ESG需要長期布局　堅持才能開花結果 從大學時代就愛看電影，特別是藝術片跟紀錄片的海英俊，其實從這項嗜好中，獲得許多工作上的啟發。最近海英俊在Netflix上看了「我的章魚老師」(My Octpus Teacher)與世上的鹽(The Salt of the Earth)這兩部片，就覺得有許多收穫。 我的章魚老師講的是人與野生動物互動，以自然為師所學到的啟示；世上的鹽則是一個巴西攝影師在家鄉花了20年，成功復育森林的故事，也揭示了「人要發心發願，才能有所成」的道理。 看商業片，求的是娛樂跟感官刺激；看藝術電影跟紀錄片，則是學習跟激勵。「看紀錄片的時候，看的是別人的人生經驗跟故事」海英俊說。這些別人的故事，其實就是自己人生的養分。 企業經營其實也是一樣的，要不斷接觸新事物，不斷學習，同時還要用十足的毅力去執行，才能有所成就。落實ESG將是未來企業必然要走的一條漫漫長路，許多ESG目標都需要靠縝密的長期策略規劃，以及有紀律的執行，才可能落實。

受美中貿易戰持續、疫情、全球性晶片缺貨等因素影響，各國紛紛宣布投入半導體產業發展，使得半導體產業從材料、設備、技術、晶片到產能，都已成為國際競合焦點，當此之際，台灣如何更深植既有優勢，在在是課題。 經濟部有感於此，戮力推動打造台灣成為亞洲「高階製造中心」與「半導體先進製程中心」，期以台灣既有的堅實製造生產能力，及以專業分工與群聚效益而獨步全球的半導體產業優勢，帶領產業轉型、厚植技術能量，完整產業供應鏈，其中核心推手正是現任經濟部部長王美花。 培養被開發的潛能 從智慧財產局局長到經濟部次長、再到經濟部部長，這樣的經歷在國內堪稱首見，智慧財產權既專業又獨特，王美花在智慧財產權的領域鑽研超過30年，在職期間深入研究許多國家的智慧財產權制度法律，也大幅修正商標法、專利法等，更在智財局期間，爭取經費和人力以清掉積案。 主責智慧財產權，但卻不自我設限、積極跨領域學習，是王美花分析自己之所以能被長官拔擢的主因。智慧財產局牽涉的領域甚廣，而她總對與案子相關的領域深入研究，因而在任職的30年間，研究領域廣泛，也與產業結下很深的緣分。例如，處理3GPP (第三代合作夥伴計劃／（第三代）移動電話系統規範)的專利糾紛時，她為了解標準專利與必要專利因而進入產業面，「將這兩個結合，就看到了通訊的重要性，華為的持續性專利佈局則令我深感驚訝。」後來蘋果對三星提起專利訴訟，王美花又發現蘋果在產品專利外，再加打設計專利，而法院初判時正是按照侵害設計專利判了三星天價的損害賠償金，「專利的布局和產業界已經緊密連結了。」 合作文化 帶來強大力量 經濟部長絕對不是個輕鬆位置，特別是近兩年受疫情與旱象所困，如何穩定產業生產以安人心，經濟部責任重大。深具美感、處事周延而溫暖的的王美花於疫情突然爆發時，忖度著：內需一定會限縮，但是台灣的製造業不能停。「台灣製造業一停全球就會大亂，因為無論是半導體產業、ICT產業或是紡織、腳踏車產業等等，台灣都在全球產業鏈中占重要地位。」因此，疫情一起，經濟部便與指揮中心及很多部會一起啟動防疫措施，故而製造業至今未曾停下腳步，而去年到今年的大旱，也在跨單位及與地方政府合作下，度過危機。王美花表示，當時經濟部想了很多方法來供水、找水，包括流水、工地用水，還找到科學園區的用水，「以前從沒想過，因為是專管，管線和民生用水管線不同。可見當大家用心來看待一件事情，不爭論這是誰的責任，而是討論如何1加1大於2，這種跨部門的合作一旦變成很好的模式，大家就會往前走。」王美花心有所感。 她以最近的「班班有冷氣」為例說明。教室歸教育部管轄，可是電力設施、買冷氣歸經濟部，於是經濟部旗下的台電、能源局就配合教育部將此政策如期完成。「形成這種氛圍對國家是好的。」王美花經常開玩笑說，經濟部是一個很耐操的單位，從去年到現在，各式各樣的議題輪番來襲，之所以能關關難過關關過的前提，正是用心去克服問題，她也提醒同仁和自己：「未來的挑戰會更大。」 半導體產業之發展與挑戰 去年車用晶片短缺之後，台灣半導體在全球曝光度登上最高點，「半導體跟台灣很像，它很小卻很關鍵，政府很珍惜，但如何去維護更重要。」對此，王美花表示，首先要維護產業鏈的群聚效果，而其前提是半導體的先進製程要在台灣落地，政府也將予以支持。此外，王美花也表示，經濟部還要形塑在台灣發展半導體的一定優勢，「台灣適合半導體的製造落地生根，人才、制度、政府支持都具備，最重要的是整個供應鏈已經成形，是現今世界少有的完整供應鏈，這是多麼了不起。」 在王美花的藍圖裡，先進製造須在台灣持續發展，建構完整供應鏈，並透過外商來台灣投資、擴大本土廠商的供應鏈，讓本土業者得以藉由優秀的行業同步提升水準，「這提升包括外顯跟隱含兩層次。」外顯是指好的技術與嚴格要求的規範；至於隱含價值，王美花以台積電為例說明：當台積電的供應鏈都被要求做到全世界一流的品質，這些供應鏈廠商自然就能取得台積電的訂單，也能與台積電共同促進產業的向上發展，「這是非常值得培養的隱性價值」；而這一個供應鏈包括設備供應商、材料商、還有其他支援的行業，如果都升級，價值、品質自然隨之提升。「晶片的應用範圍太廣，如何提升其他應用範圍，包括電動車、5G等，都在形塑更大的供應鏈範圍，這是台灣應該做的方向。」王美花說道。 而為了發展下一個世代的半導體，政府目前也積極結合法人和政府資源，期讓新的半導體能夠在台灣發展和製造。不過王美花表示，長久以往，台灣可能面臨到幾個面向的挑戰，須謹慎因應。一是國際局勢，台灣擁有如此密集的先進製造，國際會不會心生忌憚？宥於國際局勢，台灣的半導體是否應該分散到其他地方？當此之際，王美花認為形塑「台灣是值得信賴的夥伴」形象很重要，她說台灣在國際上本就有信賴度，未來如何讓其他國家感受到「我是想要和你合作，台灣也是一個好的生產基地，我願意跟大家形成一條好的供應鏈」，至關重要。」 另一個較難的挑戰則是減排。我國的半導體產業，特別是先進製程，用電量相對較高，所以半導體業在發展的同時也要同步做減排，王美花堅定地說：「政府會和業界一起努力。」客觀來說，台灣要發展綠能、再生能源產業相對辛苦，常常遇到很多國家不會遇到的問題，「我們要一個一個去突破，做了之後還要回過頭來思考如何取得平衡。」只是，「能源轉型」簡單四個字，卻有千絲萬縷的事，「但台灣一定要往這方向去推進。」產業對綠能的需求只會愈來愈大，目前離岸風電和太陽光電能雖提供較大量體，但還是需要更多綠電。台灣未來也須引進新的再生能源，除了自我研發技術也可以和國外合作，「這方面的投資省不得。」 經濟部轄管範圍甚廣且繁雜，堪稱「從菜市場管到晶圓廠」，王美花部長自我期許「經濟部長」是大家的大家長，努力撮合大家一起合作來把事情做好。對部內，她希望形塑出既專業又合作的文化；對部外，她希望台灣的產業都能雨露均霑、照顧平衡，「平衡發展對台灣非常重要，我們不僅要讓尖端企業做得更好，也要花心力照顧傳統產業。」而要達此目標，經濟部在基礎設施，包括水電供應與人力供應上如何支援產業發展，又將是另外一個考驗。 觀看訪談影片精華