可愛的熊大、饅頭人貼圖，是許多人對LINE的印象，成立8年至今，這家在全球擁有1.64億月活躍用戶的科技公司，服務領域從通訊、娛樂、電商、金融、區塊鏈幾乎無所不包。

許多台灣用戶可能都還記憶猶新，2018年時LINE帳號被盜用的情況嚴重，此外假消息、LINE Pay被盜刷的消息也時有所聞，隨著旗下服務越來越多元，LINE所面對的資安挑戰也越來越大。

像LINE這樣掌握龐大用戶資料的公司，資安就像是鎮守在第一線的士兵，必須發揮最大的戰力抵禦外侮。《數位時代》前進LINE位於日本東京的總部，與身兼重責大任的資安團隊見面，深入了解資安在LINE企業文化中的意義，以及背後的運作。

LINE面臨的三大資安挑戰

走進會議室裡，LINE資安部門經理市原尚久（Naohisa Ichihara）開宗明義點出LINE目前面對的三大資安挑戰。

「現在的LINE其實就是一家資料公司，這當中有許多的服務都是跟其他公司一起合作的。」LINE是一間快速成長的公司，跨國、跨產業的合作也快速增加中，舉例來說，在日本的合作夥伴有豐田汽車、台灣則有一卡通。

對公司內部來說，面臨軟體開發方法多樣化、專案數量成長、組織國際化、資料應用等挑戰；外部的威脅也日益強大，像是駭客的功力越來越強、詐騙手法推陳出新、科技技術的演進、大規模攻擊；還有最麻煩的是，各國地區對於資安法規的要求，不僅日益嚴苛、差異也不小，這些因素都讓LINE投注更多的資源與心力在資安議題上。

攝影 / 高敬原

從源頭把關，資安奠定產品設計基礎

去年LINE收購韓國網路資安顧問公司GrayHash，同時延攬旗下知名白帽駭客加入資安團隊。從今年五月更大動作重整資安團隊，在東京總部成立資安中心，目前共擁有約80位成員鎮守在第一線。

我們常說食品安全要從源頭把關，資安也是一樣的，LINE資安團隊分享，許多開發人員可能太專注在開發產品，而忽略資安的基本功，或者開發人員用創新的方式開發，也有可能忽略資安問題。因此，LINE導入了安全設計（Secure by Design）、隱私設計（Privacy by Design）這兩項原則，市原尚久分享：「推出每一項新服務前，都要經過層層關卡，當安全審核（security review）通過時，才能對外公布上線時間。」

簡單來說，把資安作為一切的設計基礎，因為許多資安問題並不是出在程式設計本身，而是在機制設計上。許多與第三方合作的服務，若在機制上沒有設計好，就可能被駭客利用。

因此，每個新服務從規劃初期，資安團隊就會深入參與，「我們會跟開發者討論，像是什麼樣的資安方式適合用在這項產品上， 」除了必須符合全球資安法規，還必須遵循不同市場的在地資安法規，像是歐洲有GDPR、台灣有個資法，適法性問題必須在產品概念萌芽的最初，一併納入討論。

在地化是資安設計上非常重要的觀念，LINE台灣資深資安工程師劉威成舉例，先前台灣帳號被盜問題很嚴重，但每個國家使用通訊軟體習慣不同，有些盜帳號方法在日本行得通，在台灣就碰壁，「要根據各地使用特性變更資安設計，讓盜帳號的人放棄這個平台。」

攝影 / 高敬原

導入機器學習，終結帳號被盜

盜用帳號、垃圾訊息，是近年LINE比較嚴重的問題，市原尚久回憶，2016年開始LINE就導入機器學習技術反制，不過一開始並不順利，機器學習模型並不能即時修正，讓攻擊者每隔一段時間就能找到漏洞，逃開機器學習的監控。

舉例來說，2017年是盜用帳號最氾濫的一年，雖然當時團隊採取應變措施，讓盜帳號問題在2018年趨緩，但2018年6月再度變嚴重的趨勢。市原尚久解釋，後來資安團隊找出機器學習模型可以自動更新的方法，藉由每周更新、修正模型，以及改善使用介面，成功解決盜用帳號、垃圾訊息的問題。市原尚久自豪地表示，2018年9月至今，都沒有任何帳號被盜用的紀錄。

當然，許多漏洞還是得靠「社群的力量」，才能變得更安全。在美國有許多科技公司都設有漏洞獎勵計畫（Bug Bounty Program），這樣的風氣在亞洲比較不盛行。LINE從2016年起推出漏洞獎勵計畫，提供獎金給發現漏洞的駭客，「希望讓駭客知道，他是一個正義的角色。」資深資安工程師劉威成解釋，這項計畫的目的是希望結合外部白帽駭客的社群力量，一起維護產品資安，這項計畫也有名人堂機制，劉威成透露過去曾有台灣的駭客上榜過。

確保資料蒐集隱私，LINE讓用戶有更多自主權

Facebook、Google這些科技巨頭，透過蒐集資料來提供用戶服務，對LINE而言，生態圈內日趨多元的服務，意味著取得用戶資料的頻率越來越頻繁。

「我們必須非常小心，確保隱私合規、遵守當在地規範。」無所不在的數位足跡與個資交換，每個人在網路世界都顯得赤裸，市原尚久認為，在蒐集用戶資料的同時，也必須提供用戶相對應的資訊，「要讓大家知道我們在做什麼，提供更多資訊增加透明度。」

攝影 / 高敬原

LINE從2017年開始，每半年都會發布透明度報告，市原尚久預告，今年下半年會重新設計隱私設定介面，讓用戶掌握更多自主權與空間，每位用戶未來可以依據自己的使用習慣，來修改隱私設定，而不是適應服務提供者所設定的遊戲規則，「我們也會跟外部的專家討論，聽取更多的意見作為參考。」

深植資安DNA，市原尚久：不該害怕討論

LINE認為，資安的觀念必須深植在企業內部文化中。目前LINE無論對內對外，都採取「零信任（ZERO TRUST）」策略，意思是任何裝置或系統都不能輕易信任，每次存取都必須認證、授權，而非傳統只認證一次，「這是我們基礎的文化，」市原尚久說。

LINE GrayLab資安研究室的負責人李丞鎮（Seung Jin Lee）分享，一般人可能會認為，公司的私網比一般網路安全，但這樣的觀念必須翻轉，「要讓所有員工知道，我們並不能信任網路，更不會把敏感的資訊放在上面，公司內部的私網也是一樣的，必須很小心。」

不只是對一般人，對多開發者來說，資安都是略有門檻的議題，甚至許多員工害怕談論資安，擔心造成產品開發時程延誤。市原尚久用「基礎文化」來形容資安在LINE內部的地位，因為資安團隊在前期開發階段，就密切跟開發團隊互動，「大家可以隨意在Slack上問問題，或是隨時找一間會議室討論。」讓資安在公司內部，營造出一種輕鬆沒有壓力，可以隨時彼此討論的議題。

同時，內部也定期舉辦跟資安有關的講座與活動，這不只是人人必須熟悉的必修課，更是深植在每位liner身上的DNA。

「在網際網路上，沒人知道你是一隻狗（On the Internet, nobody knows you're a dog）」，這是《紐約客》在1993年所刊登的漫畫，背後要探討的，是在網路的世界中，所有人都能在不透露個人資訊的情況下發送、接收資訊，「你是誰？」變得模糊且缺乏信任。

wikipedia

我們正身處在一個數位身分（Digital Identity） 正當性受到質疑的時代，幾乎所有的服務都能在網路上提供，各家公司都在蒐集用戶資料，只要在手機上壓下指紋，就能完成金融交易，同時網路隱私、數位信任也成為這個時代下的共同課題。

eKYC在日本登場，拍張照就能認證身分

數位身分是LINE資安團隊，目前面對最重要的課題之一，越來越多服務，需要透過虛擬的方式，去驗證螢幕另一頭的用戶是不是本人。

許多公司在提供服務之前，會先要求顧客提供證件等個人資料，這個步驟稱為「認識你的客戶（Know your customer），簡稱：KYC」，目的是為了預防身份盜竊、金融詐騙、洗錢及恐怖主義融資。傳統上會要求用戶透過影印的方式提供，通常需要耗費許多時間。

支付、金融服務因為法規要求，必須要對顧客做KYC，日本在2018年底修法「犯罪收益移轉防止法」後，LINE也開始推動eKYC（electronic Konw Your Customer），讓整個流程走向數位化。

今年四月，LINE Pay在日本推出eKYC技術，根據LINE資安部門經理市原尚久說法，用戶只需要拿著證件面對手機鏡頭，拍一張照片，文件及臉部辨識完成後，就等同完成數位化認證作業，就能使用LINE Pay轉帳。

LINE

LINE資安長中山剛（Takeshi Nakayama）在今年的「LINE與Intertrust資安高峰會」上分享，無論是指紋、臉部辨識，在全世界都越來越普遍，他說：「中國在2020年，要在全國架設2億台監視器，目的就是要讓每個人在網路上可以被辨識出來。」如此一來，就可以在最短時間內抓到罪犯。

但同時，舊金山在今年五月，成為全美第一個反對引入臉部辨識系統的城市，禁令的論點就是認為，這類高科技監控技術會侵害人民隱私。從金融服務盜把擊犯罪，數位身分的應用越來越廣泛，背後的問題也逐漸浮上檯面。

密碼早已不可靠，LINE加入FIDO布局生物辨識

根據統計，有91%的攻擊都是釣魚式攻擊（Phishing），過去許多人的LINE帳號會突然被奪走（sudden death），就是因為電話號碼被有心人士拿去註冊，光靠密碼早已不足以保護資料安全。

除了eKYC，LINE在身分識別技術上，早已投注許多資源，LINE在2017年就宣布加入全球最大身分驗證技術聯盟FIDO，目前是聯盟的董事會成員之一，市原尚久表示，FIDO能讓各類連網服務，以生物驗證的方式，更快速、安全的辨識使用者身份，FIDO通用伺服器認證的好處，是不需取得使用者的個資，對隱私更加有保障，目前FIDO董事會還包括Microsoft、Intel、Google等科技巨頭。

LINE台灣資深資安工程師劉威成，過去受訪時曾表示，LINE確實是有規劃用生物辨識技術取代傳統密碼，而FIDO可分為兩種協定，「一種就是取代現有的密碼，另一種就是二階段認證，用密碼加上生物辨識。」採用這兩種協定的差異，就取決於搭配的服務需求。舉例來說，當牽涉到金融轉帳時，可能就需要二階段認證增強安全性，一般通訊服務解鎖，就能直接採用生物辨識取代密碼，市原尚久也預告，今年會陸續推出生物辨識相關服務。

將推出信用評分機制，精準掌握用戶輪廓

LINE另一個跟數位身分有關的應用，信用評等機制「LINE Score」，資安長中山剛解釋：「我們從他的行為、聽什麼音樂、用什麼服務，來取得這些資料做信用評分。」以此作為未來提供服務的依據，預計會在下半年先於日本市場推行，未來也計畫導入台灣市場。

LINE

日本LINE Financial主管Kazunori Sekimizu解釋，過去都是依據國籍、性別、教育背景這些資訊來得出用戶輪廓，「但是這些標準曖昧（指精準度不高），也不怎麼有趣。」因此才會想透過蒐集用戶在日常生活中使用LINE服務、與朋友互動、參與LINE生態圈活動的資料為基礎，給出一個非常個人化、直接反應用戶行為喜好的分數，目的是希望增加用戶使用其他服務的誘因。

更準確來說，LINE Score會根據用戶行為與機器學習，得出一套模型。假如用戶想購買汽車保險，LINE除了會從第三方取得使用車輛紀錄，還會結合LINE Score分數，去審視用戶的年齡、理解能力等資訊，依過往行為建立模型，來判斷哪些用戶開車是比較安全可信任，作為提供保險服務的依據；在行銷上，也能從用戶對於某些行為分數的高低，更精準的提供服務。

如何避免偏見，成LINE Score大挑戰

資安長中山剛就分享，評分制度也有可能帶來新的風險，關鍵在於分數的用途以及結合的服務。多數人熟悉的例子，就是中國政府自2014年起，透過蒐集公民的銀行和社交資訊，建立一套「社會信用系統」，這套分數會影響個人旅行自由、升職、置產，以及子女就學機會等生活各層面，就有人權團體擔心，專斷的評量體系可能會有失公平性。

LINE

LINE Score的初衷是要建立起提供服務的依據，以及讓過去與金融機構沒有互動的用戶，因為有了LINE Score信用依據，更容易得到想要的金融服務。LINE Financial主管Kazunori Sekimizu也提醒：「評分制度不能創造出新的偏見，以及差別待遇。」所有的評分依據必須公開透明，也會利用機器學習技術，盡可能把主觀偏見降到最低。

使用者資料會直接影響到評分的分數以及品質，「要給用戶自由選擇要用哪些服務的權利，也不能因為用戶沒使用某個服務，就給他比較差的評分。」Kazunori Sekimizu 表示，在蒐集這些資料前，都會先取得用戶同意，為了確認每位用戶身分的正確性，會透過eKYC、FIDO等方式認證數位身分，確保資料準確性。

對LINE來說，今年夏天的重頭戲，就是金管會將發出兩張純網銀執照，在三搶二的態勢下，要能夠獲得主管機關以及消費者的信任，「資安」絕對是關鍵核心。尤其現在網路連結各項事務，若遭受威脅，受影響的不僅是虛擬世界，更會衝擊現實生活。

純網銀的特色就是沒有實體分行，要把錢交給看不見摸不著的銀行，對多數民眾來說，仍存有哪麼一分疑慮。深根台灣多年的LINE，每天處理的訊息數量超過260億則，LINE自豪的認為，自己最大的優勢，在於已經具備承載大流量的安全能力與資安技術。

本周在安侯建業KPMG主辦的「國際金融犯罪防制研討會」上，LINE Bank籌備處執行長黃以孟，首度向外界分享LINK BANK在資安上的三大優勢，他認為LINE Bank最重要的使命，就是要結合總部資源，打造安全又便利的「全民銀行」。

攝影 / 蔡仁譯

建立安全信任，AI打擊金融犯罪、洗錢

LINE在今年五月，於日本東京成立資安中心，與過去不同的是，將來資安議題會站在全球的角度，在產品服務設計的最源頭，將安全問題一併考慮。LINE台灣資深資安工程師劉威成解釋，讓資安組織擴大的目的，就是希望在偵測威脅時，可以更快速地作出反應。

台灣將成為LINE在全球第一個推出純網銀服務的國家，在資安議題上，黃以孟表示未來結合AI，推出金融犯罪風險整合管理平台。舉例來說，銀行提供服務時必須做KYC（Know-Your-Customer，認識你的客戶），未來提供服務時會結合大量的外部風險資料，針對既有或新客戶進行即時、不斷點的KYC，以此建立多維的風險分級，讓每位用戶的風險輪廓更加立體。

LINE BANK

在純網銀時代，交易監控上除了必須做到即時，一旦帳戶有異常活動時，必須第一時間預警用戶。像是系統會偵測帳戶是否有新區域的異常活動、Cell IP 與 GPS 不匹配、短時間內完成的移動旅行/地理位置、來自新國外地區的異常活動等等。當出現這些蛛絲馬跡，系統會預警提醒用戶，做到即時防制金融犯罪。

洗錢防制方面，會以盡職調查、名單過濾、交易監控、交易報告等資料為基礎。透過動態的評分模型，做到動態持續、涵蓋關聯性的反洗錢偵測。資深資安工程師劉威成表示，洗錢防制涉到跨國洗錢問題，因此團隊合作非常關鍵，「這時有法務背景的工程師就很重要，」他說。

將推出信用評分機制，降低金融服務門檻

日本市場今年上半年，正針對金融服務設計一套信用評等機制「LINE Score」，目的就是要讓用戶接觸到更多元的金融服務。黃以孟曾說LINE Bank的目標就是要達成「普惠金融」的願景，純網銀的出現就是要降低金融服務門檻，未來計劃在台灣市場導入這套評等機制。

市場上許多服務，都會以國籍、性別、年齡、教育背景等資訊，作為描繪用戶輪廓的依據，不過LINE認為這些資料不立體也不見得可信。LINE Score的運作模式，會以用戶在日常生活中使用LINE服務、與朋友互動、參與LINE生態圈活動的資料為基礎，給出一個「信LINE分」，這個評分是非常個人化的，直接反應用戶行為喜好。

攝影 / 高敬原

這個分數會跟金融服務結合，假如用戶想購買汽車保險，LINE除了會從第三方取得使用車輛紀錄，還會結合LINE Score分數，去審視用戶的年齡、理解能力等資訊，依過往行為建立模型，來判斷哪些用戶開車是比較安全可信任，作為提供保險服務的依據。此外，也能讓過去與金融機構沒有互動的用戶，因為有了LINE Score信用依據，更容易得到想要的金融服務。

匯集跨國資源，即時共享情報

一群人的力量一定比一個人強大，「LINE 全球資安聯防」是 LINE Bank 的重要後盾，目前LINE集團擁有超過11項資安專利技術，每天防禦攻擊數超過230件，每日與生態圈共同監控情資分享數更超過4,000件，未來LINE BANK開始提供服務後，除了在地監控、還會結合跨國支援，聯手抵抗資安挑戰。

黃以孟表示，LINE BANK內部的資安團隊，會24小時不間斷進行系統監控與回報，針對弱點即刻修補，同時來自日本、韓國的資安訊息也會互通有無，隨時補強資安弱點，讓LINE Bank比照過去集團累積的資安防護經驗。

攝影 / 蔡仁譯

純網銀發照進入倒數階段，無論是樂天國際商業銀行預定的總經理佐伯和彦，或是LINE Bank籌備處執行長黃以孟，近日都紛紛在公開場合強力主打「資安牌」。目前三家有意角逐執照的業者都已經送件，近日的公開活動對於取得執照的機率影響性不大。

但各家業者之所以積極求曝光，目標在於提早壯大市場上的聲量。對LINE來說，在台灣已經擁有2100萬用戶的高度滲透率，若能夠提早培養、強化消費者對自家品牌的「信任感」，未來一旦取得執照，會更有機會讓現有的用戶優先選擇LINE的純網銀服務。無論最終是哪兩家業者取得執照，或是推出創新顛覆的金融產品，「資安」都是不可不練的基本功。