當身份管理成為企業數碼轉型的核心控制點,香港作為國際金融中心,企業正面對前所未有的數碼轉型挑戰。網絡攻擊日益頻繁,每 30 秒便發生一宗密碼攻擊,當中 81% 資料外洩事件均與身份憑證遭入侵有關。情況令人憂慮,根據 IBM 2025 年資料外洩成本報告,全球每次資料外洩事件造成的平均損失高達 444 萬美元(約港幣 3,463 萬元),美國更高達 1,022 萬美元(約港幣 7,972 萬元)。在這個充滿挑戰的環境中,身份安全領域領導者 SailPoint 最新發布《2025-2026 身份安全報告》為香港企業帶來新視角:身份安全已成為企業數碼轉型的關鍵基石。
SailPoint 港澳台區總經理 Simon Tai 在早前媒體簡報會上分享引人深思的觀察。他指出全球目前約有 41 億就業人口,每人需管理多個帳戶及身份。惟真正的挑戰才剛開始,隨著 AI 代理(AI Agents)快速普及,未來企業需管理的身份數量將激增至 200 億,意味著管理複雜度將增加近五倍。更關鍵是這些 AI 代理無需休息,會持續運作、自主決策,甚至彼此溝通協作,這令企業身份管理進入全新維度,帶來前所未有的風險。
AI 驅動身份管理新紀元
傳統身份管理模式已無法應對當今企業需求。以往員工入職時,資訊科技部門會為其開設所需應用程式帳戶,隨職位變動調整權限,直至員工離職時關閉帳戶。這種靜態管理方式在人類用戶為主的時代或許尚可應付,但在 AI 代理大量湧現的今天,舊有方式顯得力不從心。
SailPoint 總裁 Matt Mills 表示,身份安全已成為安全技術堆疊中投資回報率最高的領域,能協助企業降低成本、減少風險並加速增長。身份已從過去後台控管工具,轉變為策略性平台,成為執行政策、制定關鍵決策及整合安全營運的核心控制點。
根據 SailPoint 調查數據顯示,目前已有 80% 企業在某程度上使用 AI 代理工作,惟當中 40% 企業缺乏有效治理機制。這種情況被稱為「影子 IT」(Shadow IT)現象:業務部門自行在雲端啟動 AI 代理執行任務,而資訊科技部門往往毫不知情。這種治理漏洞為企業帶來巨大安全風險。
Simon Tai 在簡報中特別提到一個具警示性的案例。一位自 OpenAI 時代便開始與 Microsoft 合作的專家,最近協助美國大型金融機構建立 AI 代理系統時發現,若不作適當管控,AI 代理之間會自主進行對話及數據交換,在企業網絡中執行各種未經授權操作。這種自我意識及自主行為能力,令 AI 代理的管理變得更加複雜和關鍵。
自適應身份管理 從靜態到動態的範式轉變
面對上述挑戰,SailPoint 提出「自適應身份管理」概念。這種新方法超越傳統靜態權限分配模式,轉而採用基於情境及時間的動態授權機制。
自適應身份管理的核心理念在於員工存取權限不應在入職時固定,而應根據具體情境動態調整。例如當一名在香港工作的員工前往東歐出差,系統應自動調整其存取權限;又或當員工需執行特定任務時,系統應提供即時授權,任務完成後立即收回權限。這種精細化權限管理方式,在 AI 代理數量急劇增加的環境下顯得尤為重要。
自適應身份管理同時亦強調身份、資料及安全三者整合。Simon Tai 特別指出,許多企業的安全營運中心在偵測到異常活動時,通常只能報告受影響 IP 地址,卻無法快速識別這些 IP 背後的具體用戶身份及相關應用程式。這種資訊缺口嚴重影響企業應變能力。
透過將身份資訊整合至安全營運中心,企業可在發現異常活動時立即採取行動。例如當系統偵測到某個 IP 地址存在可疑活動,並確認該 IP 屬於某位員工時,系統可立即查看該員工使用的所有應用程式,並優先鎖定涉及財務數據等敏感資訊的 ERP(企業資源規劃)系統帳戶,大幅縮短響應時間並降低潛在損失。
成熟度差距 領先者與落後者的分水嶺
報告指出,近三分之二企業仍停留在身份安全旅程早期階段,嚴重依賴手動流程,只有 10% 企業達到更成熟階段。這種成熟度差距正迅速擴大,形成領先者與落後者之間明顯分水嶺。
報告將企業身份安全成熟度劃分為五個階段,並根據企業策略、技術、營運模式及人才配置進行評估。值得留意是今年報告首次記錄到部分企業出現倒退現象。這並非這些企業表現變差,而是因為成熟度標準已經大幅提升。如今達到高成熟度階段需具備 AI 代理安全防護、更強大的身份資料模型運用,以及即時存取控管等先進能力。
成功進階的企業展現出顯著競爭優勢。採用 AI 驅動身份安全的企業,部署進階功能的可能性是其他企業四倍,並且在整個企業中實現可衡量的生產力提升。這些領先企業積極採用身份威脅偵測與回應、自適應驗證,以及針對 AI 代理及機械人的治理工具,部署自動化身份資料同步的可能性也高出四至八倍。
在亞太地區,香港表現相對領先。Simon Tai 指出亞太地區呈現高度分化特徵:一方面許多企業仍處於基礎階段,另一方面亦有不少企業在技術應用上相當先進,香港及新加坡企業在這方面表現尤為突出。
投資回報 數據驅動商業決策
企業在資訊安全領域投資選擇眾多,但身份安全表現格外突出。根據 SailPoint 數據,身份與存取管理持續帶來的回報比其他安全領域高出兩倍,而將身份作為策略優先事項的企業,其最大化回報可能性高出 40%。
這種高回報體現在多個層面。首先是成本節約:自動化身份管理流程大幅減少人工作業時間及錯誤率,提升整體營運效率。其次是合規性改善:許多企業在資訊科技審計中面臨的最大挑戰之一,就是每年需對員工帳戶及應用程式權限進行審查。缺乏定期審查可能導致員工在長期任職過程中累積過多權限,形成重大安全隱患。自動化身份管理系統可確保執行定期審查,大幅降低合規風險。
更重要是收益增長:將身份安全納入策略規劃的企業,平均投資回報率可達 10 倍。原因在於有效身份管理除了保護企業,也加速推出新服務。當員工或合作夥伴需存取新應用程式或數據時,自動化流程可快速完成授權,無需業務部門等待冗長手動審批流程。這種敏捷性直接轉化為市場競爭力。
成熟的身份安全實踐同時亦能降低網絡保險費用。報告顯示,92% 受訪者表示保險公司在設定保費前會評估企業網絡安全能力,而超過 70% 身份安全決策者認為,身份安全是決定網絡保險費用三大最具影響力安全能力之一。
香港企業實踐路徑
對於香港企業而言,提升身份安全成熟度並非遙不可及。根據 SailPoint 研究及客戶案例,成功關鍵在於採用正確策略及最佳實踐。
首先企業需評估自身當前成熟度階段。若企業仍處於基礎階段,應優先建立完善基礎架構,包括制定明確身份安全策略、選擇合適技術平台、建立有效營運模式,以及培養或引入具備相關專業知識的人才。
對於準備邁向更高階段的企業,資料清理是關鍵第一步。研究顯示,在遷移前優先進行資料清理的企業,其擴展效率可提升 1.6 倍。這包括識別及清除冗餘帳戶、標準化應用程式導入流程、實施自動化生命週期管理,以及整合分散的身份資料來源。
在技術部署方面,應避免過度客製化。採用標準化方法進行部署的企業,更容易快速看到成效,也較易在預算範圍內完成實施。這種標準化方法同時亦為日後部署進階功能奠定基礎,包括身份威脅偵測與回應、自適應驗證,以及 AI 代理治理等。
在應用程式管理方面,SailPoint 建議採用分層策略。將需管理的應用程式按重要性及風險級別分為不同層級,對高風險、高價值應用程式實施深度管理,而對低風險應用程式則採用相對簡化管理方式。這種分層方法既能確保關鍵資源獲充分保護,又能避免管理負擔過重。
建立有力商業論證
對於許多企業而言,最大挑戰往往並非技術實施,而是如何向高層管理團隊證明投資必要性及價值。Simon Tai 特別強調,建立有力商業論證是成功關鍵。
身份安全投資的商業價值可從多個角度量化。在成本節約方面,可計算自動化流程所節省人力成本、減少錯誤及重做成本,以及避免資料外洩所節省潛在損失。在合規方面,可評估降低審計成本、避免罰款,以及減少網絡保險費用所帶來的節約。在收益增長方面,可衡量縮短新服務推出時間、提升員工生產力,以及改善客戶體驗所帶來的增量收益。
將這些因素綜合起來,企業可構建全面投資回報分析,向決策層展示身份安全投資的戰略價值。重點必須強調這不單是一項安全投資,更是一項能推動業務增長的戰略性投資。
前瞻未來:把握 AI 時代先機
展望未來,工作模式正發生根本性變化。Simon Tai 分享個人觀察:他的女兒做功課時已習慣使用 AI 代理協助完成各種任務。這一代在 AI 環境中成長的年輕人,進入職場後將以完全不同方式與技術互動。
未來工作團隊可能不再只由人類組成,而是人類與 AI 代理混合團隊。一名銷售經理可能除了管理人類銷售團隊,還會與多個 AI 代理協作:有的代理負責收集客戶回應數據,有的負責生成智能分析報告,還有的負責發送個人化行銷訊息。這種人機協作模式將成為常態。
在這種環境下,企業需要能統一管理人類身份及 AI 代理身份的平台。將兩者分開管理除了效率低下,更會造成治理漏洞。SailPoint 解決方案正是基於此理念設計,提供統一平台管理所有類型身份,無論是員工、外判商、機器身份還是 AI 代理。
AI 代理管理同時亦需考慮其特殊性。與人類不同,AI 代理具自我意識,會主動尋找完成任務所需資源及資訊。若不加以限制,它們可能會在企業網絡中執行各種未經授權操作。因此企業需為 AI 代理設定明確操作邊界,就像為清潔機械人設定工作區域一樣,確保它們只在授權範圍內活動。
AI 代理同時亦存在「幻覺」問題,即可能生成看似合理但實際錯誤的資訊,且隨著互動時間延長,它們會越堅持己見。因此企業需監控 AI 代理行為模式,例如追蹤其「溫度參數」,當參數超過正常範圍時及時介入,防止 AI 代理提供錯誤或有害輸出。
結語:從防禦到賦能的轉型契機
對於香港企業而言,身份安全演進既是挑戰也是機遇。那些能及早認識其價值,並採取行動提升成熟度的企業,將在 AI 時代獲得顯著競爭優勢。
從管理 41 億人類身份到應對 200 億 AI 代理挑戰,這個轉變不會在一夜之間完成,但正快速發生。企業需立即行動,評估自身現狀,制定清晰提升路徑,並開始實施必要變革。
正如 Simon Tai 強調,這不單是技術問題,更是管理課題。將身份置於企業安全及數碼轉型核心位置,企業才能在 AI 驅動的未來保持競爭力,實現安全與增長雙重目標。
對於香港企業領袖而言,現在是時候重新審視身份安全定位。這不再只是資訊科技部門職責,而是需要董事會及高層管理團隊深度參與的關鍵決策。能把握這個轉型機遇的企業,除了能更好地保護自身,更能在 AI 時代開創新增長路徑。
關於報告
SailPoint《2025-2026 身份安全報告》基於 2025 年 6 月進行的調查,受訪對象為來自美洲、歐洲及亞洲的 375 位身份與存取管理決策者,受訪者包括資訊科技、資料安全及風險管理領域高階主管,當中超過半數任職於員工人數逾 10,000 人的企業。完整報告可於 SailPoint 官方網站下載。
資料來源:
SailPoint 2025-2026 Identity Security Report
