一、 介紹
本文件為美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)所發布的年度戰略技術路徑圖(Strategic Technology Roadmap, STR)，提供以證據為基礎的策略建議，目前的版本為第三版(v3)。報告將探討發展中的技術能力與未來需求，以預測未來所需的技術，並作為未來CISA投資技術的參考。此路徑圖特別聚焦於未來的技術能力，以解決現有科技所帶來的風險，並利用整合分析(meta-analyses)發現未來風險。CISA的使命為傾全國之力了解並管理網路和物理風險，引導相關技術投資朝正確的方向發展。

此戰略技術路徑圖將透過CISA的技術投資，調整並整合網路與基礎設施安全相關的技術能力，最大限度地提高CISA對網路與關鍵基礎設施風險的掌握，並提供緊急通訊功能。
本戰略技術路徑圖主要分為四大部份：
(1) 網路與基礎設施安全的技術能力要求
(2) 技術能力預測
(3) 技術標準
(4) 技術推測

二、 時程圖與回饋
年度戰略技術路徑圖在每年的12月初發布，並於發布後即著手下一年度的規劃。CISA首席技術團隊(Chief Technology Officer, CTO)利用一整年的時間，透過分析與整合數百件的資料文件(例如CISA安全與漏洞評估與CISA採購投資計畫組合的缺口/需求等文件)以建構戰略技術路徑圖。
為了更善用戰略技術路徑圖，此路徑圖利用「規劃—計劃—預算—執行」（Planning，Programming，Budgeting，Execution，PPBE）」四階段制度，提供CISA的戰略規劃活動，包含：
(1) 計畫決策支援(program decision options)
(2) 資源分配計畫(resource allocation plan)
(3) CISA各事業部年度經營規劃與
(4) 研發與實驗室的計畫提案
透過此多面向的規劃路徑圖有效地提升了CISA技術投資的效率。

三、 技術能力需求
自發表戰略技術路徑圖第二版之後，CISA透過分析來自CISA、國內中央與地方單位(federal, state, local, tribal and territorial, FSLTT)、合作夥伴與私人公司等數百個資料文件，加上正在進行的研究工作，除盤點了對於技術能力的新需求外，也驗證了第一版中所提到的技術需求。更重要的是，透過綜合需求提供機會以建立有計畫的部署能力，並利用新科技強化現有的CISA任務環境。在第三版中，CISA將技術能力需求細分為20個領域，根據能力需求領域之間的相似性，再將其組織成三大技術領域，並決定各領域投入期程規劃進程，主要分為採用(ADOPT)、示範(DEMO)、投資(INVEST)、觀望(WATCH)、推遲(DEFER)與待決定延繼續或中止(DECIDE)。
其分別為：
(一) 網路安全：
1. 欺敵技術(Deception Technologies)：2年內採用
2. 關鍵基礎設施的系統修補(ICS Patching)：2年內投資
3. 機器學習與大規模分析(ML and Large-Scale Analytics)：2年內投資
4. 機器學習與資安協作自動化應變(ML and Security Orchestration, Automation and Response, SOAR)：2年內示範
5. 網路系統安全(Network Systems Security)：2年內示範
6. 非IP的資料採集與監控系統(Non-IP Based SCADA(Supervisory Control And Data Acquisition)) 與關鍵基礎設施協定監控(ICS Protocol Monitoring)：2年內投資與示範
7. 軟體保證(Software Assurance)與弱點管理(Vulnerability Management)：2年內示範
8. 車輛安全性(Vehicle Security)：2年內投資
9. 零信任架構 (zero trust architecture, ZTA)：2年內投資
(二) 通訊
1. 蜂巢式網路安全性(Cellular Security)：2年內投資
2. 電腦輔助調度互操作性(Computer-Aided Dispatch Interoperability)：2年內投資
3. 陸地行動無線電到蜂巢式網路互操作性(LMR(Land Mobile Radio) to Cellular Interoperability)：2年內投資
4. 蜂巢式網路的任務導向語音功能(Mission Critical Voice on Cellular Network)：2年內投資
5. 下一待網路優先服務(Next Generation Network Priority Services)：2年內投資
(三) 關鍵推動要素
1. 授權時間來源(Authoritative Time Source)：2-3年觀望
2. 數位分身(Digital Twin)：2年內投資
3. 分散式企業資料管理(Distributed Enterprise Data Management)：2年內示範
4. 減緩電磁脈衝與地磁擾動(EMP and GMD Disturbance Mitigations)：2年內採用
5. 風險架構與進階分析(Risk Architecture and Advanced Analytics)：2年內採用
6. 單一與跨計畫發布與變更管理工具(Single, Cross-Program Release and Change Management Tool)：2年內採用

四、 技術能力預測
商用產業可提供許多各式各樣的產品以滿足技術能力需求，然而在某些情況下，產品發展可能停止或趨緩，或者產品功能在商業上無法滿足其需求，因此戰略技術路徑圖建立了技術能力需求與積極研發計畫之間的橋樑。CISA與美國國土安全部的科技部門(DHS S&T)合作執行研發計畫，其內容為持續追蹤、預測與調整對未來技術能力需求的理解，並發掘可推進目前最先進技術的破壞性創新科技，以提升對抗當前、新興與潛在對手的能力與對關鍵基礎設施的威脅。在戰略技術路徑圖中，研究團隊盤點了12個DHS S&T研發計畫、10個國防高等研究計劃署(DARPA)研發計畫與一個CISA 全國風險管理中心(NRMC)計畫中，上述20個技術能力需求中的15種技術。

如零信任架構 (zero trust architecture, ZTA)與單一與跨計畫發布與變更管理工具領域發展已相當成熟，故沒有研發計畫，此外，了解技術能力需求與研發計畫之間的缺口，代表可利用啟動新研發計劃以提供新機會更進一步探索最新科技與其預期價值。填補這些缺口的行動包含：為研發計畫定義新的要求與檢視現有的投入與諮詢，特別是在不受CISA直接影響或控制的技術需求上。美國網路空間日晷委員會(Cyberspace Solarium Commission, CSC)近期提出可利用聯合協作環境(Joint Collaborative Environment, JCE)解決執行操作問題，可應用於、分散式企業資料管理、機器學習與大規模分析、機器學習與資安協作自動化應變, 6. 單一與跨計畫發布與變更管理工具等領域。

五、 技術標準
戰略技術路徑圖第三版新增了一套技術標準分析與方法，其中涵蓋CISA任務範圍內的潛在風險。戰略技術路徑圖透過分析可能對網路安全、關鍵基礎設施或緊急通訊造成破壞性影響的研擬中技術標準，將視野拓展至未來技術。CISA鼓勵政府其他機構共同參與CISA任務，以協助監控與影響新興技術標準，並保持情境察覺(situational awareness)與降低潛在風險。報告並基於CISA的戰略優先順序，定性地評估對不同技術標準(包含5G、新IP、人工智慧、PNT與雲端)對美國產生的風險等級，其中AI與5G將對美國各方面的網路安全議題(包含關鍵基礎設施、硬體與協定等)產生相當高的風險。
此外，CISA目前正與其他機構的合作夥伴共同參與多個標準制定組織包含：結構化資訊標準促進組織(OASIS)、國際通信聯盟電信標準化 (ITU-T)、網際網路工程任務組(IETF)、3GPP、美國電信產業解決方案聯盟(ATIS)、電機電子工程師學會(IEEE)；與網路安全領域有關的技術領域包含：自動化、AI、5G、區塊鏈、加密與物聯網(IoT)。以機構來看，ITU-T對最多領域著手擬定標準，領域包含自動化、5G、區塊鏈、加密與物聯網(IoT)皆著手制定標準；以領域來看，除了結構化資訊標準促進組織(OASIS)為對5G訂定標準，其他機構皆正擬定標準，但上述無任何機構對人工智慧訂定標準。

六、 技術推測
此路徑圖橫跨五年的規劃週期，技術推測著重於分析新興技術、具有獲取重要市場占有率或創造新市場潛力技術、以及存在特殊風險的技術等。目前技術推測部分聚焦於兩大技術領域，而每個領域都由許多獨立發展的技術組成。此兩大領域為
(一) 跨平台資訊交換管理系統：CISA資訊交換常面臨到非集中式交易紀錄管理問題，如跨平台資訊管理與紀錄追蹤，然而可透過區塊鏈平台的共享與安全資料結構能維護與追蹤資訊交換的紀錄。
(二) 偵測與對抗深偽(Deepfake)技術：深偽技術是指電腦生成且難與現實區分的高度精密影像，目前可透過缺乏部分臉部特徵的技術侷限得以辨識影像真偽，如鬍鬚、眨眼、光線與陰影等，未來此技術將更為逼近真實且難以辨識，CISA將持續監測該技術的演進。

七、 結論
戰略技術路徑圖第三版涵蓋網路安全、關鍵基礎設施與通訊，並整合不同來源的技術預測。每年對預測技術的回顧可讓CISA保持對未來技術的狀況認知，識別可能會影響利害關係者與政府運用案例的趨勢以及持續追蹤會影響技術路徑圖的技術變化，預計第四版將增加新的角度，以深化與更廣泛的了解未來技術。