IBM 發布「量子安全就緒指數」報告 三大評估領域 : 籲企業加速強化量子安全韌性

QSRI 顯示全球企業正緩步推進其量子安全韌性。IBM 建議企業應根據自身風險程度與應變能力，首先建立量子安全治理策略、架構與跨部門管理機制；透過人員再培訓計畫，彌補量子安全技能缺口；並導入可觀測工具以監控密碼風險。

為瞭解全球企業量子安全的準備程度，IBM 商業價值研究院 (IBV) 與市場分析公司明智夥伴（Phronesis Partners）合作，訪問了來自 27 個地區/市場、跨 14 個產業的 750 位負責業務、營運、安全或技術職能的企業主管。IBM 以 2023 年首次定義的「量子安全就緒指數」(Quantum-Safe Readiness Index, QSRI) 評估與呈現全球企業規劃與部署量子安全能力的程度。

IBM 2025 「量子安全就緒指數」指出，73% 的受訪企業已經開始研究量子安全議題，但僅有19% 的企業有實際關於量子安全的近程規劃、或明確的量子安全策略與目標。造成認知與行動的差距的主要原因有二：企業缺乏量子安全的關鍵人才與技能，及量子安全議題在企業內的權責分散。

62% 的受訪企業期待由現有的資安供應商協助應對量子安全風險，56% 的企業認為量子安全僅屬技術議題；主要負責量子安全議題的主管依序為技術長 (16%)、資安長 (11%)、研發主管 (10%) 與資訊長 (10%) 等。

IBM  2025「量子安全就緒指數」評估14項企業作為，歸納為三大領域包括：量子安全的探索能力、可觀測性與監控能力、與轉型能力。14 項指標依據 IBM 對於量子的專業知識與客戶經驗分組與加權，100 分為滿分。

2025年，全球企業「量子安全就緒」的平均分數為 25 分，較 2023 年的 21 分提升 4 分。分數最高的前百分之十企業被定義為「量子安全領先者」（Quantum-Safe Champions, QSCs），其分數介於 35 至 50 分；較 2023 年的最高分 44 分進步 6 分。

報告指出全球企業在「探索」與「可觀測性與監控」領域進展較快，企業正在強化識別與監控密碼風險的能力。「轉型」能力亦有進展，但絕對分數仍偏低；顯示企業關注量子安全議題的初期動能強勁，但持續投資是將準備工作轉化為實際量子安全能力的關鍵。

量子運算的能力將重塑企業保護資料與系統的方式；當量子電腦達到足夠的規模與穩定性時，多數現行的加密方法將失效。儘管具備破解現行密碼能力的量子電腦預計六年後才問世，但網路駭客採取「先竊取，後解密」(harvest now, decrypt later) — 即今日竊取加密資料，待量子技術成熟時再行破解的手法，若企業等閒視之，延遲應對，未來將面臨資料外洩、營運中斷的風險與高額補救成本。

IBM「量子安全就緒指數」評估指標，三階段

第一階段：探索能力（Discovery）

• 確定受影響範圍

• 了解加密技術使用情況

• 分析對加密技術的依賴程度

• 建立服務水平，以過渡到量子安全加密技術

• 辨別基礎技術

• 將供應商納入治理和安全管理

第二階段：可觀測性與監控能力（Observability）

• 建置遙測解決方案

• 基於 AI 的規則引導制訂決策

• 發展量子安全可觀測性

• 建置共同的、持續的治理機制

第三階段：轉型能力（Transformation）

• 規劃將系統過渡到新加密技術

• 識別支持後量子加密技術的方法和解決方案

• 驗證包含新加密技術的產品

• 測試 NIST 量子安全加密算法

  
  
  
  

建議企業應立即啟動與加速進行量子安全轉型

• 根據自身風險程度與應變能力，建立量子安全治理策略、架構與跨部門管理機制

• 盤點對現有加密技術與應用程式的依賴性；進行密碼系統盤點，找出潛在漏洞；導入可觀測性工具以監控密碼風險

• 透過人員再培訓計畫，彌補量子安全技能缺口

• 規劃並建置符合後量子 （PQC） 標準的加密技術；在過渡期間採用傳統與後量子加密（PQC）混合架構；導入加密彈性（crypto agility）方案

• 與產業夥伴協作，建立與運作量子安全生態系