Blog
/
AI
/
July 16, 2025

サイバーセキュリティのためのAI成熟度モデルの紹介

サイバーセキュリティのためのAI成熟度モデルは、実際のユースケースとエキスパートの知見に基づいた、この種の指針の中でも最も詳細なガイドです。CISOが戦略的な意思決定を行うための力となり、どのAIを導入すべきかだけではなく、組織を段階的に強化し優れた成果を得るためにどのように進めるべきかを知ることができます。
Inside the SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
Written by
Ashanka Iddya
Senior Director, Product Marketing
Default blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog image
16
Jul 2025

サイバーセキュリティへのAIの導入:宣伝文句を超えて

今日のセキュリティオペレーションはパラドックスに直面しています。業界ではAI(Artificial Intelligence)が全面的な変革を約束し、ルーチンタスクを自動化することにより検知と対処が強化されると言われています。しかしその一方で、セキュリティリーダーは意味のあるイノベーションとベンダーの宣伝文句を区別しなければならないという大きなプレッシャーに直面しています。

CISOとセキュリティチームがこの状況を乗り越えるのを支援するため、私たちは業界で最も詳細、かつアクション可能なAI成熟度モデルを作成しました。AIおよびサイバーセキュリティ分野のエキスパートと協力して作成したこの枠組みは、セキュリティライフサイクル全体を通じてAIの導入を理解し、測定し、進めていくためのしっかりとした道筋を提供します。

なぜ成熟度モデル?なぜ今必要?

セキュリティリーダー達との対話と調査の中で繰り返し浮かび上がってきたテーマがあります。

それは、AIソリューションはまったく不足していないが、AIのユースケースの明瞭性と理解が不足している、ということです。

事実、Gartner社は「2027年までに、エージェント型AIプロジェクトの40%以上が、コスト上昇、不明瞭なビジネス上の価値、あるいは不十分なリスク制御を理由として打ち切られるだろう」と予測しています。多くのセキュリティチームが実験を行っていますが、その多くは意味のある成果を得られていません。セキュリティの向上を評価し情報に基づいた投資を行うための、標準化された方法に対する必要性はかつてなく高まっています。

AI成熟度モデルが作成されたのはこのような背景によるものであり、これは次を行うための戦略的枠組みです:

  • 人手によるプロセス(L0)からAIへの委任(L4)に至る5段階の明確なAI成熟度を定義
  • エージェント型生成AIと専用AIエージェントシステムから得られる結果を区別
  • リスク管理、脅威検知、アラートトリアージ、インシデント対応といった中核的な機能にわたって評価
  • AI成熟度を、リスクの削減、効率の向上、スケーラブルなオペレーションなど、現実の成果に対応させる

[related-resource]

このモデルで成熟度はどのように評価されるか?

「サイバーセキュリティにおけるAI成熟度モデル」は、世界で10,000社に及ぶDarktraceの自己学習型AIおよびCyber AI Analystの導入例から得られたセキュリティオペレーションの知見に基づいています。抽象的な理論やベンダーのベンチマークに頼るのではなく、このモデルは実際にセキュリティチームが直面している課題に基づき、AIがどこに導入されているか、どのように使用されているか、そしてどのような成果をもたらしているかを反映しています。

こうした現実に即した基盤により、このモデルはAI成熟度に対する実務的な、体験に基づいた視点を提供します。セキュリティチームが現在の状態を把握し、同じような組織がどのように進化しているかに基づいて現実的な次のステップを知るのに役立ちます。

Darktraceを選ぶ理由

AIは2013年のダークトレースの設立以来そのミッションの中心であり、単なる機能ではなく、企業の基盤です。10年以上にわたりAIを開発し現実のセキュリティ環境にAIを適用してきた経験から、私たちはAIがどこに有効で、どこに有効でないか、そしてAIから最も大きな価値を得るにはどうすべきかを学びました。

私たちは、現代のビジネスが膨大な、相互に接続されたエコシステム内で動いていること、そしてそこには従来のサイバーセキュリティアプローチの維持を不可能にする新たな複雑さや脆弱さが生まれていることを知っています。多くのベンダーは機械学習を使用していますが、AIツールはそれぞれ異なり、どれも同じように作られているわけではありません。

Darktraceの自己学習型AIは多層的なAIアプローチを使用して、それぞれの組織から学習することにより、現代の高度な脅威に対するプロアクティブかつリジリエントな防御を提供します。機械学習、深層学習、LLM、自然言語処理を含む多様なAIテクニックを戦略的に組み合わせ、連続的、階層的に統合することにより、私たちの多層的AIアプローチはそれぞれの組織専用の、変化する脅威ランドスケープに適応する強力な防御メカニズムを提供します。

この成熟度モデルはこうした知見を反映し、セキュリティリーダーが組織の人、プロセス、ツールに適した適切な道筋を見つけるのに役立ちます。

今日のセキュリティチームは次のような重要な問いに直面しています:

  • AIを具体的に何のために使うべきか?
  • 他のチームはどのように使っているのか?そして何が機能しているのか?
  • ベンダーはどのようなツールを提供しているのか、そして何が単なる宣伝文句なのか?
  • AIはSOCの人員を置き換える可能性があるのか?

これらはもっともな質問ですが、簡単に答えられるとは限りません。それが、私たちがこのモデルを作成した理由です。セキュリティリーダーが単なるバズワードに惑わされず、SOC全体にAIを適用するための明確かつ現実的な計画を作成するのを助けるために、このモデルが作成されました。

構成:実験から自律性まで

このモデルは5つの成熟段階で構成されています:

L0 –  人手によるオペレーション:プロセスはほとんどが人手によるものであり、一部のタスクにのみ限定的な自動化が使用されます。

L1 –  自動化ルール:人手により管理されるか、外部ソースからの自動化ルールとロジックが可能な範囲で使用されます。    

L2 –  AIによる支援:AIは調査を支援するが、良い判断をするかどうかは信頼されていません。これには人手によるエラーの監視が必要な生成AIエージェントが含まれます。    

L3 –  AIコラボレーション:組織のテクノロジーコンテキストを理解した専用のサイバーセキュリティAIエージェントシステムに特定のタスクと判断を任せます。生成AIはエラーが許容可能な部分に使用が限定されます。  

L4 –  AIに委任:組織のオペレーションと影響について格段に幅広いコンテキストを備えた専用のAIエージェントがほとんどのサイバーセキュリティタスクと判断を単独で行い、ハイレベルの監督しか必要としません。

それぞれの段階が、テクノロジーだけではなく、人とプロセスもシフトすることを表しています。AIが成熟するにつれ、アナリストの役割は実行者から戦略的監督者へと進化します。

セキュリティリーダーにとっての戦略上の利益

成熟度モデルの目的はテクノロジーの導入だけではなく、AIへの投資を測定可能なオペレーションの成果に結びつけることです。AIによって次のことが可能になります:

SOCの疲労は切実、AIが軽減に貢献

ほとんどのセキュリティチームは現在もアラートの量、調査の遅延、受け身のプロセスに苦労しています。しかしAIの導入には一貫性がなく、多くの場合サイロ化しています。上手く統合すれば、AIはセキュリティチームの効率を高めるための、意味のある違いをもたらすことができます。

生成AIはエラーが起こりやすく、人間による厳密な監視が必要

生成AIを使ったエージェント型システムについては多くの誇大広告が見られますが、セキュリティチームはエージェント型生成AIシステムの不正確性とハルシネーションの可能性についても考慮に入れる必要があります。

AIの本当の価値はセキュリティの進化にある

AI導入の最も大きな成果は、リスク対策から検知、封じ込め、修復に至るまで、セキュリティライフサイクル全体にAIを統合することから得られます。

AIへの信頼と監督は初期段階で必須となるが次第に変化する

導入の初期段階では、人間が完全にコントロールします。L3からL4に到達する頃には、AIシステムは決められた境界内で独立して機能するようになり、人間の役割は戦略的監督になります。

人間の役割が意味のあるものに変化する

AIが成熟すると、アナリストの役割は労働集約的な作業から高価値な意思決定へと引き上げられ、重要な、ビジネスへの影響が大きいアクティビティやプロセスの改良、AIに対するガバナンスなどに集中できるようになります。

成熟度を定義するのは宣伝文句ではなく成果

AIの成熟度は単にテクノロジーが存在しているかどうかではなく、リスク削減、対処時間、オペレーションのリジリエンスに対して測定可能な効果が見られるかどうかで決まります。

[related-resource]

AI成熟度モデルの各段階の成果

セキュリティ組織は人手によるオペレーションからAIへの委任へと進むにつれてサイバーセキュリティの進化を体験するでしょう。成熟度の各レベルは、効率、精度、戦略的価値の段階的変化を表しています。

L0 – 人手によるオペレーション

この段階では、アナリストが手動でトリアージ、調査、パッチ適用、報告を、基本的な自動化されていないツールを使って行います。その結果、受け身の労働集約的なオペレーションになり、ほとんどのアラートは未調査のままとなり、リスク管理にも一貫性がありません。

L1 – 自動化ルール

この段階では、アナリストがSOARあるいはXDRといったルールベースの自動化ツールを管理します。これにより多少の効率化は図れますが、頻繁な調整を必要とします。オペレーションは依然として人員数と事前に定義されたワークフローに制限されます。

L2 – AIによる支援

この段階では、AIが調査、まとめ、トリアージを支援し、アナリストの作業負荷を軽減しますが、エラーの可能性もあるためきめ細かな監督が必要です。検知は向上しますが、自律的な意思決定に対する信頼度は限定的です。

L3 – AIコラボレーション

この段階では、AIが調査全体を行いアクションを提示します。アナリストは高リスクの判断を行うことと、検知戦略の精緻化に集中します。組織のテクノロジーコンテキストを考慮した専用のエージェント型AIエージェントシステムに特定のタスクが任され、精度と優先度の判断が向上します。

L4 – AIに委任

この段階では、専用のAIエージェントシステムが単独でほとんどのセキュリティタスクをマシンスピードで処理し、人間のチームはハイレベルの戦略的監督を行います。このことは、人間のセキュリティチームが最も時間と労力を使うアクティビティはプロアクティブな活動に向けられ、AIがルーチンのサイバーセキュリティ作業を処理することを意味します。

専用のAIエージェントシステムはビジネスへの影響を含めた深いコンテキストを理解して動作し、高速かつ効果的な判断を行います。

AI成熟度モデルのどこに位置しているかを調べる

「サイバーセキュリティのためのAI成熟度モデル」 ホワイトペーパーを入手し、評価を行ってみましょう。自社の現在の成熟段階をベンチマークし、主なギャップがどこにあるのかを調べ、次のステップの優先順位を特定するためににお役立てください。

Inside the SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
Written by
Ashanka Iddya
Senior Director, Product Marketing

More in this series

No items found.

Blog

/

Proactive Security

/

October 24, 2025

Patch Smarter, Not Harder: Now Empowering Security Teams with Business-Aligned Threat Context Agents

Default blog imageDefault blog image

Most risk management programs remain anchored in enumeration: scanning every asset, cataloging every CVE, and drowning in lists that rarely translate into action. Despite expensive scanners, annual pen tests, and countless spreadsheets, prioritization still falters at two critical points.

Context gaps at the device level: It’s hard to know which vulnerabilities actually matter to your business given existing privileges, what software it runs, and what controls already reduce risk.

Business translation: Even when the technical priority is clear, justifying effort and spend in financial terms—especially across many affected devices—can delay action. Especially if it means halting other areas of the business that directly generate revenue.

The result is familiar: alert fatigue, “too many highs,” and remediation that trails behind the threat landscape. Darktrace / Proactive Exposure Management addresses this by pairing precise, endpoint‑level context with clear, financial insight so teams can prioritize confidently and mobilize faster.

A powerful combination: No-Telemetry Endpoint Agent + Cost-Benefit Analysis

Darktrace / Proactive Exposure Management now uniquely combines technical precision with business clarity in a single workflow.  With this release, Darktrace / Proactive Exposure Management delivers a more holistic approach, uniting technical context and financial insight to drive proactive risk reduction. The result is a single solution that helps security teams stay ahead of threats while reducing noise, delays, and complexity.

  • No-Telemetry Endpoint: Collects installed software data and maps it to known CVEs—without network traffic—providing device-level vulnerability context and operational relevance.
  • Cost-Benefit Analysis for Patching: Calculates ROI by comparing patching effort with potential exploit impact, factoring in headcount time, device count, patch difficulty, and automation availability.

Introducing the No-Telemetry Endpoint Agent

Darktrace’s new endpoint agent inventories installed software on devices and maps it to known CVEs without collecting network data so you can prioritize using real device context and available security controls.

By grounding vulnerability findings in the reality of each endpoint, including its software footprint and existing controls, teams can cut through generic severity scores and focus on what matters most. The agent is ideal for remote devices, BYOD-adjacent fleets, or environments standardizing on Darktrace, and is available without additional licensing cost.

Darktrace / Proactive Exposure Management user interface
Figure 1: Darktrace / Proactive Exposure Management user interface

Built-In Cost-Benefit Analysis for Patching

Security teams often know what needs fixing but stakeholders need to understand why now. Darktrace’s new cost-benefit calculator compares the total cost to patch against the potential cost of exploit, producing an ROI for the patch action that expresses security action in clear financial terms.

Inputs like engineer time, number of affected devices, patch difficulty, and automation availability are factored in automatically. The result is a business-aligned justification for every patching decision—helping teams secure buy-in, accelerate approvals, and move work forward with one-click ticketing, CSV export, or risk acceptance.

Darktrace / Proactive Exposure Management Cost Benefit Analysis
Figure 2: Darktrace / Proactive Exposure Management Cost Benefit Analysis

A Smarter, Faster Approach to Exposure Management

Together, the no-telemetry endpoint and Cost–Benefit Analysis advance the CTEM motion from theory to practice. You gain higher‑fidelity discovery and validation signals at the device level, paired with business‑ready justification that accelerates mobilization. The result is fewer distractions, clearer priorities, and faster measurable risk reduction. This is not from chasing every alert, but by focusing on what moves the needle now.

  • Smarter Prioritization: Device‑level context trims noise and spotlights the exposures that matter for your business.
  • Faster Decisions: Built‑in ROI turns technical urgency into executive clarity—speeding approvals and action.
  • Practical Execution: Privacy‑conscious endpoint collection and ticketing/export options fit neatly into existing workflows.
  • Better Outcomes: Close the loop faster—discover, prioritize, validate, and mobilize—on the same operating surface.

Committed to innovation

These updates are part of the broader Darktrace release, which also included:

1. Major innovations in cloud security with the launch of the industry’s first fully automated cloud forensics solution, reinforcing Darktrace’s leadership in AI-native security.

2. Darktrace Network Endpoint eXtended Telemetry (NEXT) is revolutionizing NDR with the industry’s first mixed-telemetry agent using Self-Learning AI.

3. Improvements to our OT product, purpose built for industrial infrastructure, Darktrace / OT now brings dedicated OT dashboard, segmentation-aware risk modeling, and expanded visibility into edge assets and automation protocols.

Join our Live Launch Event

When? 

December 9, 2025

What will be covered?

Join our live broadcast to experience how Darktrace is eliminating blind spots for detection and response across your complete enterprise with new innovations in Agentic AI across our ActiveAI Security platform. Industry leaders from IDC will join Darktrace customers to discuss challenges in cross-domain security, with a live walkthrough reshaping the future of Network Detection & Response, Endpoint Detection & Response, Email Security, and SecOps in novel threat detection and autonomous investigations.

Continue reading
About the author

Blog

/

Proactive Security

/

October 24, 2025

Darktrace Announces Extended Visibility Between Confirmed Assets and Leaked Credentials from the Deep and Dark Web

Default blog imageDefault blog image

Why exposure management needs to evolve beyond scans and checklists

The modern attack surface changes faster than most security programs can keep up. New assets appear, environments change, and adversaries are increasingly aided by automation and AI. Traditional approaches like periodic scans, static inventories, or annual pen tests are no longer enough. Without a formal exposure program, many businesses are flying blind, unaware of where the next threat may emerge.

This is where Continuous Threat Exposure Management (CTEM) becomes essential. Introduced by Gartner, CTEM helps organizations continuously assess, validate, and improve their exposure to real-world threats. It reframes the problem: scope your true attack surface, prioritize based on business impact and exploitability, and validate what attackers can actually do today, not once a year.

With two powerful new capabilities, Darktrace / Attack Surface Management helps organizations evolve their CTEM programs to meet the demands of today’s threat landscape. These updates make CTEM a reality, not just a strategy.

Too much data, not enough direction

Modern Attack Surface Management tools excel at discovering assets such as cloud workloads, exposed APIs, and forgotten domains. But they often fall short when it comes to prioritization. They rely on static severity scores or generic CVSS ratings, which do not reflect real-world risk or business impact.

This leaves security teams with:

  • Alert fatigue from hundreds of “critical” findings
  • Patch paralysis due to unclear prioritization
  • Blind spots around attacker intent and external targeting

CISOs need more than visibility. They need confidence in what to fix first and context to justify those decisions to stakeholders.

Evolving Attack Surface Management

Attack Surface Management (ASM) must evolve from static lists and generic severity scores to actionable intelligence that helps teams make the right decision now.

Joining the recent addition of Exploit Prediction Assessment, which debuted in late June 2025, today we’re introducing two capabilities that push ASM into that next era:

  • Exploit Prediction Assessment: Continuously validates whether top-priority exposures are actually exploitable in your environment without waiting for patch cycles or formal pen tests.  
  • Deep & Dark Web Monitoring: Extends visibility across millions of sources in the deep and dark web to detect leaked credentials linked to your confirmed domains.
  • Confidence Score: our newly developed AI classification platform will compare newly discovered assets to assets that are known to belong to your organization. The more these newly discovered assets look similar to assets that belong to your organization, the higher the score will be.

Together, these features compress the window from discovery to decision, so your team can act with precision, not panic. The result is a single solution that helps teams stay ahead of attackers without introducing new complexities.

Exploit Prediction Assessment

Traditional penetration tests are invaluable, but they’re often a snapshot of that point-in-time, are potentially disruptive, and compliance frameworks still expect them. Not to mention, when vulnerabilities are present, teams can act immediately rather than relying solely on information from CVSS scores or waiting for patch cycles.  

Unlike full pen tests which can be obtrusive and are usually done only a couple times per year, Exploit Prediction Assessment is surgical, continuous, and focused only on top issues Instead of waiting for vendor patches or the next pen‑test window. It helps confirm whether a top‑priority exposure is actually exploitable in your environment right now.  

For more information on this visit our blog: Beyond Discovery: Adding Intelligent Vulnerability Validation to Darktrace / Attack Surface Management

Deep and Dark Web Monitoring: Extending the scope

Customers have been asking for this for years, and it is finally here. Defense against the dark web. Darktrace / Attack Surface Management’s reach now spans millions of sources across the deep and dark web including forums, marketplaces, breach repositories, paste sites, and other hard‑to‑reach communities to detect leaked credentials linked to your confirmed domains.  

Monitoring is continuous, so you’re alerted as soon as evidence of compromise appears. The surface web is only a fraction of the internet, and a sizable share of risk hides beyond it. Estimates suggest the surface web represents roughly ~10% of all online content, with the rest gated or unindexed—and the TOR-accessible dark web hosts a high proportion of illicit material (a King’s College London study found ~57% of surveyed onion sites contained illicit content), underscoring why credential leakage and brand abuse often appear in places traditional monitoring doesn’t reach. Making these spaces high‑value for early warning signals when credentials or brand assets appear. Most notably, this includes your company’s reputation, assets like servers and systems, and top executives and employees at risk.

What changes for your team

Before:

  • Hundreds of findings, unclear what to start with
  • Reactive investigations triggered by incidents

After:

  • A prioritized backlog based on confidence score or exploit prediction assessment verification
  • Proactive verification of exposure with real-world risk without manual efforts

Confidence Score: Prioritize based on the use-case you care most about

What is it?

Confidence Score is a metric that expresses similarity of newly discover assets compared to the confirmed asset inventory. Several self-learning algorithms compare features of assets to be able to calculate a score.

Why it matters

Traditional Attack Surface Management tools treat all new discovery equally, making it unclear to your team how to identify the most important newly discovered assets, potentially causing you to miss a spoofing domain or shadow IT that could impact your business.

How it helps your team

We’re dividing newly discovered assets into separate insight buckets that each cover a slightly different business case.

  • Low scoring assets: to cover phishing & spoofing domains (like domain variants) that are just being registered and don't have content yet.
  • Medium scoring assets: have more similarities to your digital estate, but have better matching to HTML, brand names, keywords. Can still be phishing but probably with content.
  • High scoring assets: These look most like the rest of your confirmed digital estate, either it's phishing that needs the highest attention, or the asset belongs to your attack surface and requires asset state confirmation to enable the platform to monitor it for risks.

Smarter Exposure Management for CTEM Programs

Recent updates to Darktrace / Attack Surface Management directly advance the core phases of Continuous Threat Exposure Management (CTEM): scope, discover, prioritize, validate, and mobilize. The new Exploit Prediction Assessment helps teams validate and prioritize vulnerabilities based on real-world exploitability, while Deep & Dark Web Monitoring extends discovery into hard-to-reach areas where stolen data and credentials often surface. Together, these capabilities reduce noise, accelerate remediation, and help organizations maintain continuous visibility over their expanding attack surface.

Building on these innovations, Darktrace / Attack Surface Management empowers security teams to focus on what truly matters. By validating exploitability, it cuts through the noise of endless vulnerability lists—helping defenders concentrate on exposures that represent genuine business risk. Continuous monitoring for leaked credentials across the deep and dark web further extends visibility beyond traditional asset discovery, closing critical blind spots where attackers often operate. Crucially, these capabilities complement, not replace, existing security controls such as annual penetration tests, providing continuous, low-friction validation between formal assessments. The result is a more adaptive, resilient security posture that keeps pace with an ever-evolving threat landscape.

If you’re building or maturing a CTEM program—and want fewer open exposures, faster remediation, and better outcomes, Darktrace / Attack Surface Management’s new Exploit Prediction Assessment and Deep & Dark Web Monitoring are ready to help.

  • Want a more in-depth look at how Exploit Prediction Assessment functions? Read more here

Committed to innovation

These updates are part of the broader Darktrace release, which also included:

1. Major innovations in cloud security with the launch of the industry’s first fully automated cloud forensics solution, reinforcing Darktrace’s leadership in AI-native security.

2. Darktrace Network Endpoint eXtended Telemetry (NEXT) is revolutionizing NDR with the industry’s first mixed-telemetry agent using Self-Learning AI.

3. Improvements to our OT product, purpose built for industrial infrastructure, Darktrace / OT now brings dedicated OT dashboard, segmentation-aware risk modeling, and expanded visibility into edge assets and automation protocols.

Join our Live Launch Event

When? 

December 9, 2025

What will be covered?

Join our live broadcast to experience how Darktrace is eliminating blind spots for detection and response across your complete enterprise with new innovations in Agentic AI across our ActiveAI Security platform. Industry leaders from IDC will join Darktrace customers to discuss challenges in cross-domain security, with a live walkthrough reshaping the future of Network Detection & Response, Endpoint Detection & Response, Email Security, and SecOps in novel threat detection and autonomous investigations.

Continue reading
About the author
Your data. Our AI.
Elevate your network security with Darktrace AI