2025年2月以降のCatoクラウドのサービス体系(基本サービス、オプション、マネージドサービス)について解説をしています。
これまで(2025年1月末まで)のサービス体系や変更内容については、以下の記事をご参照ください。
基本サービス
まず最初に、Catoクラウドの基本サービスとしては、以下の基本料金が発生します。
- 拠点毎のPoP接続帯域、および総帯域
- モバイルユーザ
- Socket(エッジデバイス)
拠点毎のPoP接続帯域、および拠点総帯域
サービスメニューは、Catoクラウドを利用する国により異なります。
Catoクラウドでは、世界各国を大きく2つのグループ(Group1、Group2)に分けられており、その他に、ひとつの単独国で価格設定している Stand-alone Countries に分けられています。Stand-alone Countries は、中国、ベトナム、モロッコの3ヵ国で、それぞれ国毎に価格設定がされているため、全部で以下の5つの料金体系となっています。
ちなみに、日本は、Group2 に所属します。
- Group1(北アメリカ、ヨーロッパ)
- Group2(日本を含むアジア、南アメリカ、メキシコ、オーストラリア、アフリカ)
- Stand-alone Countries(中国)
- Stand-alone Countries(ベトナム)
- Stand-alone Countries(モロッコ)
Group1、Group2、Stand-alone Countries を世界地図で表すと以下になります。
Site(サイト)ライセンス
次に、拠点のCatoクラウドへの接続については、”Site(サイト)ライセンス“というものが必要となり、本社、支店、営業所、店舗、データセンターといった物理拠点、または AWS、Azureなどのクラウド拠点に、このライセンスが必要となります。
Group1、Group2 の Siteライセンスは接続帯域毎に以下 10個のメニューが準備されています。
- 25Mbps(最小)
- 50Mbps
- 100Mbps
- 250Mbps
- 500Mbps
- 1,000Mbps
- 2,000Mbps
- 3,000Mbps
- 5,000Mbps
- 10,000Mbps(最大)
拠点は、契約帯域以上の通信速度は出ません。それ以上の通信はQoS設定に従い優先度の低い通信から破棄(Discard)されます。
Pooled(プールド)ライセンス
また、Siteライセンス以外にも、複数接続拠点の総帯域を購入する”Pooled(プールド)ライセンス“があります。
Pooledライセンスは、Siteライセンスとは異なり、10Mbps単位で拠点分割が行え、拠点帯域の増速、減速をお客様が自由に行うことできるライセンスとなります。
Pooledライセンス契約は1,000Mbps以上(初期契約時は100Mbps単位で追加可)、契約後は200Mbps以上での追加となります。
Group1、Group2のグループ毎にPooledライセンスを契約し、グループ内での分配することが可能です。
ひとつのアカウントで、SiteライセンスとPooledライセンスの組み合わせも可能です。
Pooledライセンスは、Siteライセンスの100Mbpsベースの価格設定がされているため、100Mbps以下の拠点の合計帯域が1,000Mbps以上となる場合は、Pooledライセンスを推奨しております。特に、25Mbps以下の狭帯域(10M,20M)の拠点が多く存在する場合には、非常にコストメリットがあり、さらに増速・減速の柔軟性も確保することができます。
Stand-alone Countries のライセンス
Stand-alone Countries については、Group1、Group2のメニューではなく、国内に閉じた通信(Regional)と国外向け通信(Global)を、それぞれ1Mbps単位で契約を行います。ともに2Mbps以上の契約が必要です。つまり、1拠点 Regional 2M/Global 2M が最小契約です。
Stand-alone Countries(中国、ベトナム、モロッコ)には、Pooledライセンスはございません。
価格としては、安価なのが Group1 で、次に Group2 、最も高額なのが Stand-alone Countries となります。
通常は、SASEライセンスという後述のSocketの利用を前提としたライセンスになりますが、Socketを利用せずに、他の通信機器を利用したIPsec接続を行う場合には、より安価なSSEライセンスでの契約を行うことも可能です。
SASEとSSEライセンスは、拠点毎で選択することが可能です。
モバイルユーザ(ZTNA)
モバイルユーザ、ZTNA(Zero Trust Network Access)は、ユーザアカウント数による課金となります。
Group1、Gropup2については、共通の”Generalライセンス“となり、Stand-alone Countries(中国、ベトナム、モロッコ)は、それぞれ国毎のライセンスとなります。
購入したユーザ数以上は、登録が行えません。エラーになります。
モバイルユーザは、10ユーザから購入が可能となり、追加も10ユーザ単位の購入となります。また、Generalライセンス 5ユーザ分が予備で付与されています。
Generalライセンスについては、10~500、501~1,000、1,001~5,000、5,001~10,000、10,001・・・、と契約ユーザ数毎にボリュームディスカウント料金が適応されますが、Stand-alone Countries は、数量によるボリュームディスカウントはありません。
モバイルユーザは、端末にCatoクライアントをインストールしますが、1ユーザ(アカウント)で3台(デバイス)まで利用することが可能です。
Socket
Catoクラウドの最大の特徴であるエッジデバイス、Socket(ソケット)についてです。Catoクラウドで拠点接続する際の通信機器(ルータ、ファイヤーウォール等)の代わりになるものです。
物理ハードウェアアプライアンスとして、X1500、X1600、X1700の3機種があります。X1500/X1700については、後継版の”B”となっています。
X1500の最大スループットが500Mbps、X1600が1,000Mbps、X1700が10,000Mbpsまでとなっております。
X1600については、通常(ベーシック)モデル以外に、SIMが搭載可能な「LTEモデル」がリリースされており、2025年に「Wi-Fiモデル」「Wi-Fi+LTEモデル」「5Gモデル」などがリリース予定となっています。
物理Socketは利用せず、仮想アプライアンス(vSocket)や、既存の追伸機器(ルータやFirewall)等を用いたIPsec接続のみを利用される場合は、Socketの費用は発生しません。
Socketは、冗長(HA)構成を行うことが可能です。また、コールドスタンバイ(予備機)として手配することも可能ですが、Socketは、購入するのではなく、サブスクリプション(サービス利用課金)となりますので、手配したSocketすべてに費用が発生します。
また、Socketのラックマウントキット、ウォールマウントキットも有り、同じくサブスクリプションで提供されています。
Catoクラウドのサービス終了時には、すべて返却(返送)いただく必要があります。
オプションサービス
2025年1月、現在以下の10個のオプションサービスがあります。
Catoクラウドの標準機能に、SD-WAN、URLフィルタリングを含む SWG(セキュアウェブゲートウェイ)、Firewallは含まれています。
| No. | オプション | オプションサービス内容 |
|---|---|---|
| 1 | Threat Prevention | アンチマルウェア(AM)、次世代型アンチマルウェア(NGAM)、不正侵入防止(IPS)、DNS セキュリティ、Threat Intelligence、インラインAI/ML、アンチフィッシング |
| 2 | Advanced Threat Prevention | 上記のThreat Preventionに加えて、サンドボックス(Sandbox)、RBI(Remote Browser Isolation)を追加 |
| 3 | CASB | Cloud Access Security Broker シャドーIT、SaaS・アプリケーション利用の可視化/評価/制御 |
| 4 | DLP | Data Loss Prevention 機密情報や重要データの漏洩対策 |
| 5 | SaaS Security API | 外部クラウドサービスのAPIによるセキュリティ検査(アンチマルウェア、DLP) |
| 6 | XDR Security Pro | Extended Detection and Response 拡張検出と対応 |
| 7 | Digital Experience Monitoring | Digital Experience Monitoring(DEM、デム) エンドユーザー体験監視 |
| 8 | IoT/OT Security | SASEベースの保護を、IoT/OT環境まで拡張し、デバイスの可視化とセキュリティ強化を実現 |
| 9 | Endpoint Security(EPP) | Endpoint Protection Platform エンドポイントプロテクションプラットフォーム |
| 10 | Data Log Storage | Catoクラウドのデータ保管期間延長オプション |
Threat Prevention
パターンファイルマッチングのアンチマルウェア(Anti-Malware)と、機械学習エンジンを用いた振る舞い検知を含む次世代型アンチマルウェア(Next Generation Anti-Malware)、不正侵入検知システム(IPS)、不正なドメインへのアクセスをブロックする DNS Protection 、不審なアクセスをモニタリングする Suspicious Activity Monitoring(SAM)、Threat Intelligence、インライン AI/ML、アンチフィッシングなどの基本的な脅威対策がすべて含まれているCatoクラウドで最も契約されている基本的なセキュリティオプションとなります。
IPSは、XDR Security Coreにも利用されています。
Advanced Threat Prevention
Threat Preventionに加えて、Remote Browser Isolation(RBI)とサンドボックス(Sandbox)が追加されたセキュリティオプションとなります。
RBIは、エンドユーザーのデバイス(PC等)の代わりに、Catoクラウドが、ユーザーのWeb閲覧セッションを代わりに実行し、その画面情報をユーザへ送信することによって、オンラインサイトからの脅威(不正プログラムのダウンロードや実行)を無力化するものです。
RBIは、別のセキュリティオプションとして販売されていましたが、2025年2月以降、単体セキュリティオプションとしての購入できなくなりました。
サンドボックスは、Cato Networks社のこれまでの方針では、昨今の俊敏な企業ニーズには合致しないとし、ゼロデイ脅威対策や、脅威を含む未知ファイルを防ぐための異なるアプローチを取っていましたが、多くのお客様・市場のニーズに応じて、機能提供を開始しました。
サンドボックスは、ファイル(プログラム)を保護・隔離された環境で、システムやデータに影響を与えずに実行し、マルウェア検出やプログラムの動作検証を行うものですが、Catoのサンドボックスは、俊敏性を阻害する事前の予防処理を行うのではなく、処理を並行で実施し、事後にプログラムの動作検証レポートを行うものとなります。
CASB
SaaSやクラウドサービスの利用状況を可視化(=シャドーITの可視化)を行います。Cato社で各アプリケーションを独自のセキュリティ・コンプライアンス等の視点で評価した Application Credibility Evaluator(ACE)を利用しており、それを元に管理者が、アプリケーション毎に利用許可(Sanction)を行うことが可能になります。さらにアプリケーションのアクティビティ単位での制御を行うことが可能になります。例えば、DropboxやGmailでダウンロード(download)は許可するが、アップロード(upload)は許可しないなどです。また、Office365の企業テナントのみの利用を許可する(個人利用は許可しない)なども、CASBオプションで実現が可能となります。
DLP
トラフィック上のすべてのファイルをスキャンして、機密情報の検出を行い、適切な措置を講じることができます。機密情報の特定には、事前にCato社で定義されたルール(データタイプ)を利用することも可能です。クレジットカードやマイナンバーカードなどは事前にルールが定義されていますが、個別に定義することも可能で、MIP(Microsoft Information Protection)ラベルとの連携も可能になっています。もちろん日本語にも対応しています。
SaaS Security API
SaaSアプリケーションに対して、APIを利用してセキュリティ検査(マルウェア検査やDLP)を行う機能です。
Catoクラウド以外から、SaaSやクラウドサービスを利用する場合、つまり社外とのコラボレーションを行う際の脅威を検出するためのセキュリティオプションとなります。
Microsoft Exchange/OneDrive/SharePoint、Google Drive/Gmail、Box、Slack、Salesforce、ServiceNow、GitHub、Workspace(Meta)に対応しております。
XDR Security Pro
CatoのXDR Securityは、世界初のSASEベースのXDR(Extended Detection and Response)です。
XDR Securityには、CoreとProの2種類があり、XDR Security Coreは、Catoクラウドをご利用のすべてのお客様が無料でご利用いただけますが、Coreは、IPSを元にセキュリティインシデントの分析をしていますので、Threat Preventionのご利用が前提となります。
また、Microsoft Defender for Endpointと連携が可能で、主要EDR製品(CrowdStrike、SentinelOne)との連携も計画されています。
XDR Security Proは、セキュリティインシデントに対する対応(SOC通知)が可能なお客様向けに提供される機能で、AIベースの脅威ハンティング(Threat Hunting)、ユーザー行動分析(User Behavioral Analysis)、インシデントライフサイクル管理を追加した有償のオプションとなります。Core同様Threat Preventionの契約が前提となります。
また、後述するCato社のマネージドサービスであるMDRは、このXDR Security Proの契約が前提になります。
Digital Experience Monitoring
Digital Experience Monitoring(DEM、デム)は、アプリケーションのユーザー体験を監視するテクノロジーで、エンドユーザーとアプリケーション間のすべてのシステムの健全性を計測し監視します。
DEMは、エンドユーザーのデジタル体験を包括的に監視・分析し、SaaS、クラウド、プライベートアプリケーションのパフォーマンスをリアルタイムに把握することができ、通信経路上のボトルネックや問題の早期発見と迅速な解決が可能となる有償のオプションです。
高度な AI 分析を活用し、インターネット、WAN、カスタムアプリケーション全体のユーザー エクスペリエンスを監視し、最適なパフォーマンスを確保することができます。
アラート機能と高度なトラブルシューティング機能を活用し、エンドポイントの問題を迅速に特定し、課題解決時間を大幅に短縮することができます。
Device Monitoring機能が、エンドユーザのデバイスのパフォーマンスや、利用しているWi-Fiのパフォーマンスを監視し、Synthetic Probe Minitoring機能が、LAN・Socket・インターネットG/W・トンネル・アプリケーションのパフォーマンスを監視し可視化することで、通信経路上のボトルネックをより詳細に特定することが可能になります。
IoT/OT Security
IoT/OT Security は、SASEベースの保護を、IoT/OT環境まで拡張し、リアルタイムにデバイスの検出と分類を行い、きめ細かなポリシー適用を行うことで、包括的な脅威防御を提供します。
本オプションは、Site(およびPooled)のみに適用されるオプションです。
Catoクラウドではこれまで、Site(Pooled)とモバイルユーザは必ずセットでオプション契約が必要でしたが、このオプションについては、Site(およびPooled)にのみ適用されるオプションとなります。
Endpoint Security(EPP)
世界初のSASEベースのエンドポイントセキュリティ(EPP)ソリューションとなります。これまでのSASEのカバレッジ範囲を、ネットワーク層を超えてエンドポイントにまで拡張した製品となり、Cato管理アプリケーション(CMA)に完全に統合管理され、クラウドネイティブな他のセキュリティスタックと連携して動作します。
EPPは、端末にEPPソフトウェアをインストールします。モバイルユーザの利用デバイス数上限と同じく上限は3デバイスとなります。
Data Log Storage(保管期間延長)
Catoクラウド上での標準のデータ保管期間は3ヶ月(1時間あたりのイベント数が250万以下)です。
Data Log Storage とは、1時間あたりのイベント出力数(標準は250万イベント/時以下)の上限緩和や、データ保管期間を3ヶ月から6ヶ月または12ヶ月へ延長するオプションとなります。
保管期間の延長を行うと、イベントログだけはなく、トラフィックデータなども保管期間が延長され、過去に遡って確認することが可能となります。
| No. | ログ数(時間単位) | 3ヶ月 | 6ヶ月 | 12ヶ月 |
|---|---|---|---|---|
| 1 | 250万イベント以下 | 0円(標準) | ¥ | ¥¥ |
| 2 | 250万イベント ~ 500万イベント以下 | ¥ | ¥¥ | ¥¥¥ |
| 3 | 500万イベント ~ 750万イベント以下 | ¥¥ | ¥¥¥ | ¥¥¥¥ |
グローバルIPアドレス(4つ目以上)
お客様毎に専用で個別割り当てが可能なグローバルIPアドレスは、Catoクラウドでは標準で3つまではサービスに含まれていますが、4つ目以上は、オプション(追加課金)となります。
オプションの課金体系について
Site(Pooled)ライセンスとモバイルユーザは、必ず同じオプションを選択する必要があります(ただし、IoT/OT Serurity除く)
つまり、1拠点だけ、モバイルユーザだけオプションを選択しないと言った契約はできません。
Threat Prevention、Advanced Threat Prevention、CASB、DLP、IoT/OT Securityは、PoP接続帯域と同じく帯域課金となっております。
IoT/OT Serurityのみが、Site(Pooled)ライセンスにのみ適用されますが、その他のオプションは、モバイルユーザにも課金されます。
SaaS Security API、XDR Security Pro、DEM、EPP、MDRは、Knowledge Users(ナレッジユーザ)課金となります。ナレッジユーザとは、企業におけるM365やG-Suiteの契約ユーザ数のことで、同契約ユーザ数での契約が必要となります。
オプションの利用条件について
オプションには幾つかの前提条件があります。
- DLPは、CASB契約が前提となります。
- SaaS Security APIは、DLP契約が前提となります。
- SaaS Security APIでマルウェア検査をする場合は、Threat Preventionの契約が前提となります。
- Cato社のマネージドサービスであるMDRを契約する場合は、XDR Security Proの契約が前提になります。
マネージドサービス
次に、Cato Networks社自身が提供するマネージドサービスについて紹介します。
| No. | マネージドサービス | サービス内容 |
|---|---|---|
| 1 | MDR | Managed Detection & Response 専任のセキュリティアナリストによるSOCサービス ※日本語未対応 |
| 2 | ILMM | Intelligent Last Mile Management ラストマイルインターネット回線管理サービス |
| 3 | NOCaaS | NOC-as-a-Service パートナー向け NOC サービス |
MDR
Cato社にて専任のセキュリティ専門家が、アセスメントから、ゼロデプロイメント、全てのトラフィック常時監視し、継続的な脅威ハンティングをサービス提供します。定期的なレポートとサービスレビュー(オンライン会議)が行われます。
残念ながら、2025年1月時点においても、MDRは英語対応のみ(レポートおよびオンラインのレビュー会議等)となっており、日本語は未対応となっております。
そのため、SCSKでは個別に日本語対応したSOCサービスをご提供しております。
ILMM
Cato社のNOC(Network Operations Center)が、ラストマイルのインターネット回線のブラックアウト(回線断)、ブラウンアウト(回線の品質やレスポンスが規定に満たない状況)、パフォーマンス低下やをリアルタイムに監視(検知)します。
NOCが問題を検知し、回線が原因であることを特定すると、Cato社が直接ISPへ(日本国内の場合は日本語で)連絡を行い、問題の解決を図ります。ISPと協力し、ネットワークの問題原因を特定し、問題解決を図り、お客様へ対応内容を適宜ご報告します。
ISPには、事前にお客様の委任状をいただくことで、ISPへの直接問い合わせを代理で実施します。
特に、海外の拠点へ多く展開されており、ご担当者は日本にしか居ない場合は、時差等の問題もあり、ラストマイルのインターネット回線不具合をCato社のNOCが管理を代行することが大きなメリットとなります。
NOC-as-a-Service
Cato社のNetwork Operations Centre as a Service (NOCaaS) は、お客様に NOC サービスを提供したいパートナー向けサービスとなります(2024年10月販売開始)
NOCaaS は、ネットワーク監視およびトラブルシューティングサービスを提供する専門のエンジニアチームを提供し、すべてのお客様のネットワークが最大限の稼働時間とパフォーマンスで最適な状態で稼働するように支援します。NOCaaS には ILMMやハンズフリー管理(Hands-free Management)が含まれています。
ハンズフリー管理(Hands-free Management)は、Cato社またはパートナーのいずれかが、お客様のネットワークの完全なハンズフリー管理を行うサービスです。専門スタッフが、ビジネスや技術要件の変更に伴うネットワークやセキュリティポリシーの変更をすべて行います。お客様、パートナー(またはCato)による、共同管理モデルでもご利用いただけます。
SCSKでは、NOC-as-a-Serviceやハンズフリー管理については、SCSKでは、サービス窓口、監視・障害一次切り分け、変更作業代行、月次報告などの各種マネージドサービスを取り揃えております。
マネージドサービスの課金体系について
MDRはナレッジユーザ課金となります。
ILMM、NOCaaSは、お客様の全てのサイトに対し適用されることが前提で、特定サイトのみでのご利用はできません。
料金は、1 サイト単位、またはPooledライセンスの場合は 1 Mbps 単位での提供となりますが、別途最低契約金額の設定が存在します。
契約、課金、最小構成について
契約期間について
Catoクラウドのご契約期間は 1年間(最低)となります。
移行期間や、これまでのWANのリプレースであることから2年以上の複数年契約を行われるお客様も多くいらっしゃいます。
複数年契約を行う場合の注意点としては、Catoクラウドでのライセンス追加(拠点追加、帯域増速、モバイルユーザ追加、あるいはSocketのアップグレード)は、契約期間中であれば、いつでも実施することが可能ですが、ライセンス削減(拠点削減、帯域減速、モバイルユーザ削減、Socketダウングレード)は、契約更新時にしか実施することができませんのでご注意ください。
また、契約期間中のライセンス追加については、契約満了月までの契約となります。
例えば、2025年2月1日契約開始で、2026年1月末契約終了の1年契約の場合、2025年4月に拠点を増速した場合は、ライセンス追加分の契約は、2025年4月から2026年1月の10ヵ月の契約となります。
課金(請求)について
SCSKでは、課金(請求)については、月額課金(請求)、一括請求ともに可能です。
基本サービスとオプションサービス、マネージドサービスをお客様の要望に応じてご請求が可能ですが、月額課金(請求)のお客様が殆どとなります。
Siteライセンスの増速(例 25Mbps→50Mbps)や、モバイルユーザの追加(例 +10ユーザ)も、追加した月からの追加課金(または残期間の一括課金)となります。
Socketについてもサブスクリプションですので、アップグレードが可能です。X1500からX1600、X1700へのアップグレードを実施した場合は、アップグレード実施月からの追加課金(請求増)となります。
最小構成
Catoクラウドの最小構成は、1 Siteライセンス、10 モバイル(ZTNA)ユーザとなります。
上記の最小構成は、モバイルユーザ 10名と、拠点しては、クラウド(AWS)としてのSiteライセンス 25Mbps(最小)としています。
モバイルユーザ(日本)については帯域の制限(上限)はありませんが、一部の地域(中国やベトナム等)については上限があります。
AWSのvSocketには料金は発生しません。ただし、AWSの利用量(仮想マシン利用、通信量等)は別途必要です。
最小構成の費用感としては、定価ベースで年間65万以下(月額6万円以下)となりますので、他のSASEソリューション、日本国内のソリューションと比較しても、非常に安価でスモールスタート可能なソリューションです。
見積り・ライセンス発行における注意事項
見積りおよびライセンス発行等の各種手続き、課金(請求)については、Catoクラウドのパートナーにより異なりますので、各種手続きや特にリードタイムを事前にご確認されることを推奨します。
例えば、拠点帯域が逼迫した際、見積りやライセンス発行手続きが遅いと、業務に支障がでる期間が長くなる可能性があります。特にCatoクラウドは、クラウドサービスですので、スモールスタートのお客様が殆どですので、ご契約されるパートナーのリードタイムには十分ご注意ください。
SCSKでは、ライセンス追加(拠点追加・帯域増速・モバイルユーザ追加)は、15時までの手配(注文書の受領)で、最短で当日中のライセンス発行が可能です。
SCSKのマネージドサービスについて
SCSKでは、2019年よりCatoクラウドの取り扱いを開始し、すでに50社以上のお客様とご契約を行っており、お客様ニーズに応じてこれまで様々なマネージドサービスのご提供を行っておりますので、詳細については以下を参照ください。
また、これまでの個別サービスメニュー提供に加え、2025年2月からは、新たなサービスメニューも加えた上で、”マネージドサービスパック“をリリースする予定です。
まとめ
Cato Networks社 の Catoクラウドのサービス体系、基本サービス、オプションサービス、Cato社のマネージドサービスから、契約・課金(請求)、最小構成、SCSKマネージドサービスについても合わせてご紹介させていただきました。
少しでもCatoクラウドに興味をお持ちになられた方は、遠慮なくSCSKまでお問い合わせください。
日本国内でも”SASE(サッシー)”や、Cato Networks、Catoクラウド(Cato Cloud/Cato SASE Cloud)の認知度が徐々に上がって来ておりますが、まだまだ低い状況です。
SCSKでは、2021年からSASEの主要な4ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称 S4 エスフォー)」を定期的に開催しております。これまで15回開催し、述べ2,200名以上の方にご参加いただいております。
また、Catoクラウドは、デモセミナー(オンライン)、ハンズオンセミナー(オフライン)なども定期的に開催しておりますので、ご興味ある方は、ぜひご参加ください。
SASEセミナー、Catoクラウドセミナー以外に、Catoクラウドのお客様導入事例の制作、FAQサイト運営、この TechHarmony(技術ブログ)で、Catoクラウドの日本語のお役立ちサイトを目指し、少しでもCatoクラウド、SASEの認知度向上と、皆様のお役に立てればと考えておりますので、今後ともよろしくお願いします。