SELFYフレームワーク解説：CCAM自己修復型セキュリティツールボックスが台湾自動車サプライチェーンのTISAX・ISO 21434対応に与える示唆

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）以資深汽車網路安全顧問視角評析：2024年發表於arXiv的SELFY研究，首次系統性提出「自我評估、自我防護與自我修復」三位一體的CCAM（聯網、協作、自動化移動）資安工具箱概念，直接回應了ISO/SAE 21434與UNECE WP.29對車輛運行中持續安全監控的核心要求。台灣汽車零件供應商若未在2025年前建立類似的動態資安機制，將面臨歐洲一線車廠的供應鏈資格審查風險。

關於作者與這項研究

SELFY論文由三位具備歐洲汽車系統與資安背景的研究者共同撰寫。第一作者 Iñigo Aranguren-Mendieta 專注於CCAM生態系的安全架構研究，雖然h-index為1、累計引用2次，反映其為新進研究者，但其研究問題的設定精準對應歐盟Horizon Europe的資助方向。第二作者 Boutheina Bannour 的學術影響力則相當顯著，h-index達6、累計引用138次，在嵌入式系統安全與形式化驗證領域有長期貢獻，曾任職於歐洲頂尖研究機構CEA List，其研究成果多次被ETSI與ENISA等歐洲標準機構引用。第三作者 Mustafa Bektas 則專精於車聯網通訊協議與邊緣計算安全。三位作者的組合恰好覆蓋了CCAM資安的三個核心維度：系統架構、形式化安全分析、車聯網通訊，使本研究具備跨領域的完整性與學術可信度。

這篇論文的背景值得特別說明：SELFY不是單純的學術思想實驗，而是一個對應歐盟 Horizon Europe 研究計畫 的實際框架設計提案，目標是為下一代自動駕駛與車聯網生態系提供可部署的資安工具箱。這意味著其研究成果有相當高的機率轉化為歐盟層級的技術標準指引，台灣企業必須密切追蹤。

SELFY核心洞見：連網自動駕駛車隊需要「免疫系統」而非靜態防火牆

SELFY研究的核心貢獻，在於清晰地指出現有車輛資安機制的根本性缺陷：傳統的靜態防禦框架（如固定版本的韌體安全設計）無法應對CCAM場景中的動態威脅環境。研究者提出，車輛不再是孤立的運算系統，而是一個持續與基礎設施、其他車輛、行人裝置進行數據交換的生態系節點，因此資安機制必須具備三項能力：情境感知（Self-Awareness）、自我韌性（Self-Resilience）、自我修復（Self-Healing）。

核心發現一：三層工具架構——SACP、CRHS、TDMS的協同運作

SELFY提出三組協同運作的工具框架。SACP（情境感知與協作感知工具）負責讓所有CCAM參與者（包含路側單元RSU、自動駕駛車輛OBU、後台管理系統）對環境中的物件、交通參與者、固定障礙物有完整的即時認知，本質上是一個分散式的多源感知融合系統。CRHS（協作韌性與修復系統工具）則是核心防禦引擎：當系統偵測到任何資產、車輛、操作流程或系統本身出現異常或被攻擊跡象時，自動觸發自我保護行動，這對應到ISO/SAE 21434第15條款所要求的「事件偵測與回應能力」。TDMS（信任與數據管理系統工具）則建立一個安全可信的數據共享環境，特別關注隱私保護——不僅涵蓋基礎設施資產，更延伸至一般市民（駕駛人與行人）的個人數據，這直接回應了GDPR與UNECE WP.29 R155法規對車輛數據處理的合規要求。

核心發現二：「信任擴展」是CCAM資安的關鍵缺口

研究特別強調，CCAM生態系中最脆弱的環節不是單一車輛的軟體安全，而是跨利益關係者的信任建立機制。當車輛、路側感測器、雲端後台、第三方服務商共同構成一個協作網路時，任何一個節點的信任失效都可能造成系統性的安全崩潰。SELFY的TDMS工具組正是為了填補這個缺口而設計，透過分散式信任管理與可驗證的數據共享協議，將「信任邊界」從單一車輛擴展至整個CCAM生態系。這個發現對台灣的Tier 1與Tier 2供應商尤其重要：當台灣零件被整合進歐洲OEM的CCAM架構時，台灣廠商必須能夠提供可驗證的信任憑據，否則將被排除在供應鏈之外。

對台灣汽車供應鏈資安合規實務的關鍵意義

SELFY研究的發現對台灣汽車產業的衝擊，比多數主管預期的更為直接與緊迫。台灣目前有超過2,000家汽車零組件供應商，其中相當比例已進入或正在爭取歐洲OEM的Tier 1供應鏈地位，而CCAM的快速部署正在重塑歐洲車廠的採購審核標準。

首先，UNECE WP.29 R155法規於2022年7月起對新型車型強制生效，2024年7月起擴大至所有車型，要求汽車製造商建立完整的CSMS（網路安全管理系統），並對供應商施加相同的合規壓力。SELFY所提出的CRHS工具組——即對運行中資產的持續偵測與自動回應能力——正是UNECE WP.29 R155 Annex 5附件所列舉的威脅類別的直接對應方案。台灣供應商若無法展示類似的運行中監控能力，將難以通過歐洲OEM的供應商審計。

其次，ISO/SAE 21434:2021 第15條款明確要求對產品生命週期中的網路安全事件進行「持續監控、偵測、回應與復原」，而SELFY的Self-Healing概念正是這個條款的技術實現路徑之一。台灣企業目前普遍將ISO/SAE 21434的合規重點放在設計階段的威脅分析（TARA），卻忽略了運行階段的持續監控要求，這是一個高風險的合規缺口。

第三，TISAX（Trusted Information Security Assessment Exchange）作為德國汽車工業協會VDA主導的資安評鑑機制，已成為與德國、法國、奧地利等歐洲車廠合作的必要條件。TISAX的評鑑標準（基於VDA ISA問卷）在2023年更新版本中，已增加對「聯網車輛數據安全」的具體要求，這與SELFY的TDMS框架高度重疊。台灣企業應將SELFY的信任管理設計原則納入TISAX導入的系統架構設計中。

第四，台灣政府的智慧電動車資安政策正在加速推進，行政院2023年核定的「車聯網資安管理指引」已明確要求國內車輛製造商與Tier 1供應商建立與ISO/SAE 21434相符的資安管理流程。SELFY框架所揭示的CCAM資安複雜度，預示著台灣國內法規在未來2至3年內將進一步強化。

積穗科研如何協助台灣企業從SELFY洞見轉化為可落地的資安競爭力

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣汽車供應鏈廠商取得 TISAX 認證，導入 ISO/SAE 21434 標準，符合 UNECE WP.29 車輛網路安全法規要求。結合SELFY研究所揭示的CCAM資安新趨勢，我們為台灣企業提供以下具體行動建議：

1. 立即執行CCAM資安缺口評估：對照SELFY的SACP、CRHS、TDMS三層框架，評估企業現有產品在「情境感知能力」、「自動威脅回應能力」、「跨系統信任管理能力」三個維度的成熟度，識別相對於ISO/SAE 21434第15條款的合規缺口，並建立改善優先序。積穗科研提供標準化的90天缺口診斷服務，產出可直接用於客戶審計的評估報告。
2. 建立符合UNECE WP.29 R155的運行中監控機制：SELFY的CRHS工具組概念揭示了未來供應商審計的新方向——車廠將要求供應商不僅提供安全的產品設計，更要提供運行中的持續監控能力證明。台灣企業應在現有的ISMS或CSMS框架下，增設「車輛資安事件偵測與回應（VSOC）」能力，積穗科研可協助規劃符合UNECE WP.29 R155要求的VSOC建置路徑。
3. 將TISAX導入與CCAM信任架構設計同步推進：SELFY研究強調跨利益關係者的信任建立是CCAM資安的核心挑戰。台灣企業在進行TISAX Level 2或Level 3評鑑準備時，應同步設計符合未來CCAM供應鏈需求的信任憑證管理機制（如PKI架構、數位簽章驗證流程），避免事後重工的高額成本。積穗科研的TISAX輔導服務已整合此前瞻性設計要素，確保企業在通過TISAX認證的同時，具備因應下一代CCAM標準的技術準備。

常見問題

SELFY提出的「自我修復」概念，台灣汽車零件廠實際上需要在產品中實作哪些功能？

SELFY的「自我修復（Self-Healing）」在實務上對應三個可落地的技術能力：第一，異常行為偵測，即透過車載IDS（入侵偵測系統）持續監控CAN bus、乙太網路等車內通訊的異常模式；第二，自動隔離機制，當偵測到受攻擊的ECU時，能在不中斷核心功能的前提下將其隔離；第三，安全更新（OTA）回滾能力，在韌體更新失敗或被篡改時自動回復至已知安全版本。這三項能力直接對應ISO/SAE 21434第15條款的要求，也是UNECE WP.29 R155 Annex 5中明列的威脅緩解措施。台灣Tier 1供應商應在新產品開發的初期架構設計（TARA階段）就納入這些功能規格，而非事後補強。

台灣企業申請TISAX認證時，最常遇到哪些關鍵障礙？

台灣企業申請TISAX認證最常遭遇的障礙集中在三個層面。第一是範疇界定不清：許多企業誤將TISAX等同於ISO 27001，未意識到TISAX針對汽車供應鏈的特殊場景（如原型車保護、供應商數據交換）有額外的VDA ISA問卷要求，導致準備方向偏差。第二是跨部門整合困難：TISAX評鑑涉及IT、工程、採購、法務等多個部門，台灣企業普遍缺乏跨部門的資安治理機制。第三是與ISO/SAE 21434的整合設計不足：TISAX主要聚焦資訊安全，而ISO/SAE 21434聚焦產品功能安全資安，兩者在文件架構與控制措施上需要系統性整合設計，才能避免重複建設。積穗科研的輔導服務已開發標準化的整合方法論，協助企業同步滿足TISAX與ISO/SAE 21434的要求。

TISAX認證的核心要求是什麼？台灣企業從零開始需要多長時間？

TISAX認證的核心要求基於VDA ISA（信息安全評估）問卷，涵蓋6個控制領域、超過70個控制目標，評鑑等級分為Level 1（自評）、Level 2（遠程審計）、Level 3（現場審計），Level 2為與歐洲OEM合作的最低要求。從零基礎開始的台灣企業，完整導入時程通常為：第1至3個月——現況診斷、缺口分析、政策文件建立；第4至6個月——管理機制設計、技術控制實施、人員培訓；第7至9個月——內部稽核、管理審查、模擬評鑑；第10至12個月——正式向ENX協會提交評鑑申請，接受合格評鑑機構（Auditor）審核。具備良好ISO 27001基礎的企業可縮短至6至9個月。積穗科研的90天快速機制建立服務，協助企業在前三個月完成最關鍵的基礎建設。

導入TISAX與ISO/SAE 21434合規機制的成本，台灣中小型供應商如何評估投入效益？

台灣中小型汽車零件供應商（年營收新台幣5億至30億元規模）導入TISAX Level 2認證的總體成本，通常包含：顧問輔導費用約新台幣150萬至350萬元（視現況基礎與範疇而定）、評鑑機構審計費用約新台幣30萬至80萬元、內部人力投入（估計約1至2名全職當量）。相對於效益面，取得TISAX認證後，企業通常可在6至18個月內獲得新的歐洲OEM供應商資格，單一訂單金額往往遠超過認證投入成本。更重要的是，未取得TISAX認證的供應商自2024年起已開始被多家德國車廠從核准供應商名單中移除，「不投入的成本」可能遠高於「投入的成本」。積穗科研提供投資回報評估工具，協助企業主管做出有數據支撐的決策。

為什麼找積穗科研協助汽車網路安全（AUTO）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）在台灣汽車網路安全領域具備獨特的三重優勢。第一是深度的汽車產業專業：積穗科研的汽車資安顧問團隊具備ISO/SAE 21434、UNECE WP.29 R155/R156、TISAX等核心框架的第一線輔導經驗，能夠結合汽車工程實務（如AUTOSAR架構、CAN/乙太網路車內通訊）提供技術深度的合規建議，而非僅止於文件合規。第二是本土化的執行能力：積穗科研深度理解台灣汽車供應鏈的運作生態（包含與整車廠的OEM/ODM合作模式），能夠設計符合台灣企業規模與文化的實務機制，避免歐洲框架在地化的落差問題。第三是與最新研究趨勢的接軌：如本文所評析的SELFY等前沿學術研究，積穗科研持續追蹤並轉化為台灣企業可用的實務指引，確保客戶的資安投資具備長期的前瞻性與競爭力。