解決方案

有些公司有很多痛點，但是我們常常以忙碌為藉口，不去好好傾聽他們的悲鳴之 聲。有些公司則認為自己沒有資安問題。不過，換種方式問之後，將工作與產業脈絡一 一釐清，痛點就浮現了。這種脈絡思考法不只可以用在分析資安產品，更可以用在需要 深入使用者經驗的各種產業。創新者不應該只關切技術上的創新，更需要了解使用者在 運用產品時的困擾。我們來看看趨勢科技如何能由這些痛點中找出設計靈感（參見表 5-1 總結）。

在北區縣政府的案例中，趨勢科技過去只賣給政府機關基本款的掃毒產品，以回應 價格上的限制。趨勢科技的研發人員對公部門的印象也停留在「花少錢，但要最省事」

的印象。「大水庫式」的中央系統需要花錢，初期也需要許多資訊人員的投入，因此鮮 少有公家機關人員願意去導入。正因此，趨勢科技可以針對政府機關提供「量身訂做」

的資安服務。

這個公部門案例可以讓我們省思三個問題。第一，除了北區縣政府以外，其他縣市 資訊仍採分散式管理，缺乏專業網管人員與相關資安軟硬體設備。趨勢科技是否能提出

不同的產品或服務方案，滿足此缺口？第二，公家機關普遍缺乏資安專業，對網路犯罪 毫無防護力。因此，當未來資安問題越來越嚴重時，地方政府勢必要提高資安預算。對 此，趨勢科技又應該如何因應？第三，縣政府對電子郵件濫用、節約用電（提醒員工晚 上要關機）、上班時間瀏覽不法網頁等資安內控問題感到頭痛，趨勢科技又可以提供怎 樣的服務或產品？思考以上三個問題，便可以浮現研發線索。

還有，對於北區縣政府以外的鄉鎮中心呢？有這樣的痛點的公部門應該不只有一 家。於此，研發部門可以設計整合性服務。例如，趨勢科技可以利用遠端控管服務，替 每個縣市政府資訊中心（約只有三、五個員工）管理約六千台電腦的資安問題。此外，

除了台灣 20 多個縣市政府公部門外，還有中央部會如立法院、監察院、中央銀行、外 交部、內政部等單位也是潛在客戶。趨勢科技還可以進一步分析公部門的資訊安全議 題，包括政府的現行資安措施、曾經發生過的大型資安事件與政府機密資料外洩等問題。

在分散環境中，縣政府無法有效預防犯罪，勢必需要委外服務。這種委外不只是服 務，還可能需要派一組人來改善內部資訊架構。趨勢科技如何訓練經銷夥伴是作法之 一，而另外一作法是設立專責單位為縣政府管理資安委外。例如，McAfee 為此商機，

還去併購一家企管顧問公司。了解公部門的資安脈絡，趨勢科技的研發人員可以由「便 利資料保護」為主軸，提供遠端管理的資安服務，透過網路閘道產品做網頁管制及電子 郵件控管，並在主要資訊流通設置管制點，防範網路犯罪的產生。

在磐石電腦案例中，研發人員可以看到三個創新機會。第一，趨勢科技可以推出「網 站防駭攻擊」解決方案。趨勢科技可以協助磐石電腦資訊中心建立入侵防護網。一旦駭 客侵入，資訊中心馬上可以偵測到侵入點並做防衛措施。當駭客竄改網頁資料時，資訊 中心能立刻偵查出甚麼資料遭受竄改。駭客掛網或對下載程式放毒時，資訊中心也可以 馬上祭出反制措施。另外，針對網頁駭客，趨勢科技則可以提供「防駭服務」（Hack Free Service），只要一有駭客造成的惡意活動，趨勢科技立即發警報通知磐石電腦。

第二，不同客戶會因產品的類型與訂單金額不同，要求磐石電腦提供不同等級的資 安檢驗標準。趨勢科技可以協助建立一個公正的資安檢驗機制，以讓客戶放心。磐石電 腦表示，在選擇防毒產品時，購買趨勢科技的產品要 60 台，買別家的產品可能只要買 兩台。雖然單價比較貴，可是磐石電腦還是會選擇別家的產品，因為 60 台控制盒所建 構的系統會造成資訊人員的不便。由此也可看出，趨勢科技現有的產品並非針對大企業 設計，這是一大隱憂，必須將此問題提升到技術長與執行長層級才能解決。趨勢科技可 以考慮於開發下一代產品時，利用整合程式做集中控管。

第三，了解磐石電腦的供應鏈脈絡，趨勢科技還可以提出「完美夥伴」（Perfect Partner）的概念，針對供應鏈上下游的資訊流提供資安方案。例如，趨勢科技可以分析 磐石電腦資訊安全等級的評估模式，設計資安檢測的標準程序（如 ISO/IEC 17799）。研 發人員還可以分析，由協同開發到工廠生產過程中，什麼地方有資安的疑慮，趨勢科技 可否與這些國際大廠一同訂定出一套資安檢測的制度。對於代工過程的病毒入侵，趨勢 科技可設計中央監控系統，來確保生產過程中沒有感染病毒，並保證出廠產品無病毒感

染。對於全球網站病毒肆虐的問題，趨勢科技可以改善既有資料防漏（Data Leakage Protection）產品，用來分辨內賊、外賊或是不當使用。

在萬王科技案例中，我們了解到電玩產業的需求不在防毒，而是在維護遊戲平台的 公平性、防止黑市洗錢以及防範帳號竊賊。趨勢科技面對這種另類資安問題，要如何依 產業特性為萬王科技設計一套產品呢？除了遊戲產業，任何藏有個人資訊的組織，例如 MySpace、Blogger、Yahoo、Google、Facebook、Linux 等，其實都是潛在使用者。從 社群這個角度來看，創新的範圍就擴大了。

對於這種社群組織的創新點可以由兩個方向來看。第一，由產品來說，網路社群含 有大量 Web2.0（互動社群）的資安漏洞，像是 Facebook 就允許使用端在其系統架構上 面寫程式，這就會牽扯到資安問題。目前趨勢科技跟 eBay 有這樣類似的合作，但是市 面上尚未有相關的解決方案。第二，由網路社群後台的資安架構來看，趨勢科技可以提 供服務；例如定期為客戶掃描網頁。賽門鐵克前就曾提出類似網路社群資安服務，拿到 了新加坡國防單位政府的訂單。

萬王科技的另類資安問題還可以帶給不少創新發想。例如，趨勢科技可以研發「防 弊機制」，提高線上遊戲的公平性，或在寶物程式上做加密的動作，來防範寶物被不當 竊取或複製。過去開發防毒產品都是針對資安威脅，但是萬王科技這樣的需求已經不只 是威脅了。再提高一層去看，這樣性質的公司，其實就是代表所有 Web 2.0 互動型社群 的需求，無論是線上遊戲、部落格或是網路社群等，皆脫離不了 Web 2.0 的範疇。依此 脈絡，趨勢科技可以包裝現有商品，提出整合資安信譽服務（All-In-One Security Reputation Service），將整個檢查機制內嵌在 Web 2.0 技術裡。

在席德銀行的個案中，趨勢科技必須先分析銀行的應用環境，了解銀行最常被侵入 的病毒是什麼。還有，被席德銀行抱怨的應該是趨勢科技的經銷商，而非趨勢科技的工 程師，所以造成了客戶對趨勢科技的誤會。趨勢科技可以效法戴爾電腦的服務模式，為 銀行關鍵客戶配駐專屬技術專家，長期建立對該銀行的了解。在發生資安事件時，這些 資安專家便可以快速地進入狀況，爭取第一時效解毒。再者，趨勢科技也可以針對銀行 客戶開設「金融資安教育」，除了增進行員對病毒的即時處置能力外，也可協助行員了 解金管會對銀行資安稽查重點。

銀行是趨勢科技的關鍵產業。但很可惜，趨勢科技過去並未建立起對銀行防毒的領 域知識（domain knowledge）。不過，這也是趨勢科技的創新契機。如果趨勢科技能分 析銀行業最常發生的病毒，縮小搜尋範圍，針對銀行業提供病毒通報，並提供解毒步驟，

應可以獲得銀行業客戶的青睞。而且，深度理解銀行業的經營流程，趨勢科技也才可以 在最短的時間內，用最省力的方式解決問題。例如，趨勢科技可以開發「病毒預防針」

維修方案（Preventive Maintenance），大規模分析使用者上網行為，協助銀行找出病毒 攻擊的脆弱點。

雖然由以上四個案例的分析，我們可以馬上看到創新契機。不過，坦白說，工程師

的技術主宰心態（technology-dominated mindset）並不易克服，因為那是一種價值觀。

跨團隊小組一旦成型後，調查脈絡的技能也非數月可培養起來。要研發人員進行實地採 訪找出使用者痛點，是一段不易的培育過程，非一蹴可及。此外，研發組織通常會抱著 一種「拿來主義」。例如，最近許多企業引進美國著名設計公司 IDEO 的創意發想工具。

企業多以為只要按照 IDEO 的腦力激盪方法做一遍，新產品就會自動出現。但是，企業 多沒看到，IDEO 的產品設計團隊在腦力激盪會議前做了多少功課，諸如分析產品的背 景、現場調查使用者脈絡、訓練採訪技巧、鍛鍊思辨技巧與重複驗證試行方案(Hargadon, 1998; Hargadon, 2003; Hargadon & Sutton, 1997; Sutton & Hargadon, 1996)。這些跨團隊思 考技巧也都是在現場調查時必須具備的。

使用者是創新的來源。創新者與其閉門造車，不如走入人群去關心使用者對產品的 需求。不過，要了解使用者並不容易，他們不一定會說「真話」。使用者往往說不出他 們的需求，因為產品的複雜度往往超過他們的理解範圍。在分析使用者的痛點與負面情 緒時，我們也要記得同時由他們的在地脈絡下手，才能看到問題的全貌，將這些在地知 識融合到新產品設計之中。

表 4：發現使用者的隱性痛點

表 4：發現使用者的隱性痛點