人工智慧 (AI) 在我們生活中已經是不可或缺的存在，尤其是生成式 AI 帶來了前所未有的便利性。根據實際的運用，AI 會產出很多的「建議」，不論是在生活中或專業領域，AI 經常提供超越了我們原本想知道的資訊內容，而資訊的正確性也相當高。乍看之下，AI 似乎真的已經取代了大部分的「人類」智慧，甚至超越我們自身的知識。

藉由 AI 在資訊安全方面的運用，尤其在組織 ISO 27001 的維護上，使用 AI 究竟可以滿足哪些項目的合規要求，並降低風險控制上的成本，提高相對的安全管理效益呢？

首先，以 AI 防範外部駭侵。採用 AI 持續監控網路和系統的運作，使得在外部攻擊之初，便可以從網路與系統的存取行為上分析相關流量或效能是否異常，藉由預先定義的安全臨界值 (threshold)，例如：組織監控到某員工帳號在非上班的時間內、以未被認可的裝置、反覆做出嘗試登入的動作但結果是失敗的…等不正常的資訊，就可以被 AI 所偵測並自動設下規則阻擋，並即時通報相關的安全維運人員知悉，反映於事件處理的結果。假設在各方面都達到了組織的安全目標，原則上就等同於符合監視活動及事故回應的相關控制措施。

其次，AI 對於日誌的分析應用。在實施 ISMS 的狀況下，網路或系統日誌都必須要被保存、保護與定期審查，藉由 AI 的運用可以加速日誌的審查。以日誌類型來看，至少會包括作業系統、應用程式、資料庫運作、網路設備等系統運行 (system) 與使用者存取 (user) 的日誌，在組織中日誌產生和儲存已經是一大成本負擔，更何況是日誌審查。過去常以人工審查或日誌分析設備為主的方式，應該要考慮以 AI 作為輔助，即時更新攻擊與惡意行為樣態，才能達到更完整的防禦政策。如此便能符合日誌管理的相關控制措施。

以上我們先簡單舉例兩種 AI 的運用。只是，AI 的分類和功能相當複雜，尤其熱門的生成式 AI (Gen AI)) 僅屬於廣義 AI 的其中一種類型，很多組織似乎仍不熟悉 AI 在資訊安全方面的應用，將生成式 AI 當成是 FAQ 客服系統，或是只能透過 AI 工具去做產生資料分析結果，這些運用方式都尚未發揮 AI 的完整價值，未來應該還有機會再對 AI 的應用方式多加考量。

不久的未來，資安公司的一部份責任，應該要對於 AI 在資訊安全方面的應用進行了解，協助定義 AI 的應用角色，在客戶端確認關鍵業務流程的作業項目，在項目中嘗試導入 AI 彌補其仍以人工作業或是過度依賴供應商的情況，增加 AI 運用的面向，提升使用 AI 的價值，確認達到總體資訊安全目標。我們也期許和客戶之間有著積極和正向的互動，使得未來在資訊安全的方面，能藉由更智慧的方式全面提升。

我們衷心期待能與您有建立交流與合作，帶給彼此成長的機會，共同強化資訊安全防線。

作者：潘柏廷 Conrad Pan

現職：亞瑟國際驗證專任資安技術專家，資深資安教育者，曾任資安輔導顧問，專長領域為資安、個資、人工智慧