こんにちは。SCSKの島村です。 皆さんは、Google Cloudのトレーニングサービス「Google Cloud Skills Boost」をご存知でしょうか。 Google Cloud Skills Boost  Google Cloud Skills Boost は、 700 以上の学習アクティビティにオンデマンドでアクセスできるトレーニング サービス 。 データ、AI、インフラストラクチャ、セキュリティなどのトピックに関するハンズオンラボ、職種別のコース、スキルバッジ、認定資格取得に向けた学習リソースが全世界で提供されます。これらすべてをオンデマンドでご利用いただけます。 本記事では、「Google Cloud Skills Boost」にて新たに追加された学習コンテンツ「 Generative AI learning path 」について簡単にご紹介いたします。 私自身、実際に受講してみてました。受講してみての所感並びに本コースの概要について共有できればと存じます。 公開スキルバッジ：Google Cloud Skills Boost スキルバッジについては以下より詳細をご確認ください。 スキルバッジと認定資格の違い – Google Cloud 認定資格 ヘルプ また、Google Cloudの最新生成系AIについては別のブログでもご紹介させていただいております。 気になった方は、下記リンクよりご一読いただけますと幸いです。 【GCP】【AIML】Google Cloudの最新生成AIについて整理してみました。 Google Cloudの生成系AIをご存知でしょうか。大規模言語モデル（LLM）としてGoogleの「Bard」については既にご存知の方も多いのではないでしょうか。 本ブログでは、これからGA予定のサービスを含め、 Google I/O 2023でも発表されたGoogle Cloudの生成系AIサービス（Generative AI）についてご紹介できればと思います。 blog.usize-tech.com 2023.06.22   Generative AI learning pathでどんなことが学べるの？？ 受講可能なコースは以下となります。 2023/08/22時点では、学習に利用可能な言語が「English」のみとなります。   Generative AI learning path 学習プログラム一覧   1. Introduction to Generative AI　 初学者向け アコーディオンボックス内容 生成型 AI の定義 生成 AI がどのように機能するかを説明 生成 AI モデルの種類の説明 生成 AI アプリケーションの説明 生成 AI とは何か、その使用方法、従来の機械学習手法との違いについて学習できます。 入門レベルの内容で、生成AI アプリの開発に役立つ GoogleCloudの ツールについても解説していただけます。   2. Introduction to Large Language Models　 初学者向け 大規模言語モデル (LLM) の定義 LLM の使用例の説明 プロンプトチューニングの説明 Google の Gen AI 開発ツールについて説明 生成 AI とは何か、その使用方法、従来の機械学習手法との違いについて学習できます。 入門レベルの内容で、生成AI アプリの開発に役立つ GoogleCloudの ツールについても解説していただけます。   3. Introduction to Responsible AI　 初学者向け Google が AI 原則を導入した理由を理解する。 組織内で責任ある AI 実践の必要性を理解する。 プロジェクトのすべての段階で行われる決定が責任ある AI に影響を与えることを理解する。 組織は独自のビジネス ニーズや価値観に合わせて AI を設計できることを理解する。 責任ある AI とは何か、それが重要である理由、Google が製品に責任ある AI をどのように実装するかを学習できます。 GoogleのAI7原則についても解説していただけます。   4. Generative AI Fundamentals　 初学者向け 「Generative AI Fundamentals」というタイトルのクイズを完了して、スキル バッジを獲得する。 「生成 AI の概要」というタイトルのコースを完了する。 「大規模言語モデル (LLM) の紹介」というタイトルのコースを完了する。 「責任ある AI の概要」というタイトルのコースを完了する。 「生成 AI の概要」、「大規模言語モデルの概要」、「責任ある AI の概要」コースについての完了テストを行います。 生成 AI の基本概念を理解しているかを確認できます。   5. Introduction to Image Generation　 中級者向け 拡散モデル（Diffusion models）の仕組み 拡散モデルの実際の使用例 無条件拡散モデル 拡散モデルの進歩 (テキストから画像へ) 画像生成分野で利用されている拡散モデル（Diffusion models）について学べます。 Google Cloud 上の多くの最先端の画像生成モデルとツールを支えている拡散モデルについて、モデルの背後にある理論とそれを Vertex AI でトレーニングしてデプロイする方法を解説していただけます。   6. Encoder-Decoder Architecture　 中級者向け エンコーダ/デコーダ アーキテクチャの主要コンポーネントを理解する。 エンコーダー/デコーダー アーキテクチャを使用してモデルをトレーニングし、テキストを生成する方法を学ぶ。 Keras で独自のエンコーダー/デコーダー モデルを作成する方法を学ぶ。 エンコーダ/デコーダ アーキテクチャの概要について理解します。 エンコーダー/デコーダーアーキテクチャの主要コンポーネントとこれらのモデルをトレーニングして提供する方法について学びます。 対応するラボのチュートリアルでは、コンテンツを生成するためのエンコーダー/デコーダー アーキテクチャの簡単な実装をTensorFlow でコーディングする。   7. Attention Mechanism　 中級者向け Attentionの概念とその仕組みを理解する Attentionメカニズムが機械翻訳にどのように適用されるかを学ぶ Attentionメカニズムについて学習します。 またAttentionを利用して機械翻訳、テキストの要約、質問応答などのさまざまな機械学習タスクのパフォーマンスを向上させる方法について学びます。   8. Transformer Models and BERT Model　 中級者向け Transformer アーキテクチャの主要コンポーネントを理解する。 Transformers を使用して BERT モデルがどのように構築されるかを学ぶ。 BERT を使用して、さまざまな自然言語処理 (NLP) タスクを解決する。 Transformer アーキテクチャと Bidirectional Encoder Representations from Transformers (BERT) モデルについて学習します。 Self-Attention メカニズムなどの Transformer アーキテクチャの主要コンポーネントとそれを使用して BERT モデルを構築する方法についてか理解でき、また、テキスト分類、質問応答、自然言語推論など、BERT を使用できるさまざまなタスクについても学習します。   9. Create Image Captioning Models　 中級者向け 画像キャプション モデルのさまざまなコンポーネントを理解する。 画像キャプション モデルをトレーニングして評価する方法を学ぶ。 独自の画像キャプション モデルを作成する。 画像キャプション モデルを使用して、画像のキャプションを生成する。 深層学習を使用して画像キャプションモデルを作成する方法を学習します。 エンコーダーやデコーダーなど、画像キャプション モデルのさまざまなコンポーネントと、モデルをトレーニングして評価する方法について理解できます。   10. Introduction to Generative AI Studio　 初学者向け Generative AI Studio について説明する。 Generative AI Studio のオプションについて説明する。 Generative AI Studio 言語ツールを利用する。 Vertex AI の Generative AI Studio について紹介していだけます。 このコースでは、Generative AI Studio とは何か、その機能とオプション、製品のデモを通してその使用方法を学習できます。   最後に 今回は Google Cloud Skills Boostの「Generative AI learning path」 について共有させていただきました。 今後とも、AIMLに関する情報やGoogle CloudのAIMLサービスのアップデート情報を掲載していきたいと思います。 最後まで読んでいただき、ありがとうございました！！！

Catoクラウドは30日間のPoCが可能です。 PoC申し込みが完了し、Catoクラウドのアカウントが開設されましたら、まずはモバイルユーザとテスト拠点を接続してみましょう。 ここでは、最もシンプルにPoC環境を構築する流れについてご説明します。 Administratorアカウントの登録 Catoの管理画面である、Cato Management Application (以下CMA) に Administratorアカウントが登録されると、Cato Networksより以下のようなメールが自動送信されます。 「here」をクリックします。 なお、Activateメールの有効期限は1日のため、1日以上経ってしまった場合には、他の管理者にメールの再発行を依頼してください。 Create Passwordの画面に遷移しますので、任意のパスワードを設定します。 パスワードを設定し「Configure Password」をクリックすると、CMAのログイン画面に遷移しますので、メールアドレスと、設定したパスワードを入力し、「Log in」をクリックします。 モバイルユーザの接続 それではさっそくモバイルユーザをCatoクラウドに接続してみましょう。 モバイルユーザの作成 Activationメールの送信設定 CMAにログインし、Access > Users > Directory Services に進みます。 User Provisioningタブ内の下記項目にチェックを入れ、「Save」ボタンを押して保存します。 Send activation email to set password and MFA to new SDP users created in the Cato Management Application ※新規ユーザの作成時に、パスワード設定のメールを自動送信する設定です。 モバイルユーザのIPアドレスレンジの指定 モバイルユーザがCatoクラウドに接続した際に、Catoから割り当てされるプライベートIPアドレス範囲を設定します。 Access > Users >IP Allocation Policy に進みます。 Dynamic IP の IP Range欄に設定されているIPアドレスレンジが、モバイルユーザに動的に割り当てされる範囲です。デフォルトでは 10.41.0.0/16 となっていますが、/16～/24の範囲で任意に変更が可能です。 変更する際は IP Range欄を変更し、右上の「Save」ボタンを押して保存します。 新規モバイルユーザ作成 続いて、Access > Users > Users Directory に進みます。 「New」のボタンを押してユーザを作成します。 First Name, Last Name, E-mail の3項目を入力し、「Apply」を押すと、ユーザが作成されます。 モバイルユーザのパスワード設定 モバイルユーザが作成されると、登録したメールアドレス宛に以下のようなメールが届きます。 「here」をクリックすると、パスワード設定画面に移動します。 パスワードを設定し、「SAVE」をクリックします。 パスワードが設定されたら、「OK」をクリックします。 Catoクライアントのダウンロード画面に遷移します。 お使いのOSに合わせたクライアントをダウンロードしてください。 なお、Catoクライアントは以下のURLからもダウンロードが可能です。 Cato Downloads Easily download the newest Client version from this portal without authenticating clientdownload.catonetworks.com Catoクライアントのインストール ここでは、Windowsを例にご紹介します。 ダウンロードしたインストーラーをダブルクリックし、端末にインストールします。画面の指示に従いインストールを進めてください。 インストールにはPCの管理者権限が必要です。また、Catoクライアントは、他のVPNソフト(Pulse Secure Client, Palo Alto Global Protect等)と競合するため、これらがインストールされていない端末でお試しください。 Catoクライアントの起動 Catoクライアントを起動します。デスクトップにアイコンを作成した場合には、以下のようなアイコンがありますので、ダブルクリックしてください。 Catoクライアントが起動します。中央の接続ボタンを押します。 認証画面が開きます。クライアントのバージョンやOSによって画面遷移が異なりますが、先ほど作成したモバイルユーザのメールアドレス・パスワードを入力して進めてください。 ※「User Name」の欄には、モバイルユーザのメールアドレスを入力ください。 以下の画面になると、接続成功です。 中央のボタンを押すと切断されます。再接続時は、ユーザ情報がクライアントに保存されていますので、ボタンを押すだけで接続できます。 CMAからも接続状況を見てみましょう。 Access > Users > SDP Users Activity にて、接続中のユーザは「Connected」欄に緑のマークが表示されます。 これでモバイルユーザのCatoクラウドへの接続は完了です。 テスト拠点の接続 続いて、テスト拠点をCatoクラウドへ接続してみましょう。 以下の構成を例にご説明します。 Cato Socket X1500を利用 X1500を既設のルータ等に接続し、X1500に対してはDHCPでプライベートIPアドレスが払い出される Socket配下の端末へは、SocketからDHCPでアドレスを払い出しする 前提条件 Cato Socket が Catoクラウドへ接続するための前提条件として、Socketの設置環境が以下を満たしていることをあらかじめご確認ください。 Internet への通信が可能であること 以下のポートでの通信が可能であること (ポートが開放されていること) UDP port 53 UDP port 443 TCP port 443 以下のドメインの名前解決が可能であること (DNSの制限等がないこと) vpn.catonetworks.net cc2.catonetworks.com steering.catonetworks.com テスト拠点の作成 CMAにログインし、Network > Sites を表示します。「New」ボタンをクリックします。 拠点の設定を行います。以下の画面にて、各設定項目を入力してください。 項目 入力内容 Site Name Site名を任意に入力します  ※日本語も可能です Site Type Branch を選択します Connection Type Socket X1500 を選択します Country Japan を選択します Timezone Tokyo を選択します WAN1 Last-mile Bandwidth Downstream/Upstream とも 100 と入力 ※Siteの通信帯域となります。回線の実効帯域よりも大きい値を設定すると、パケットのDiscardが発生するため、回線帯域未満の値を設定してください。 Native Range テスト拠点のLAN側のアドレスレンジとなります。適宜ご指定ください 最後に「Apply」を押して設定を保存します。 一覧に戻ると、作成した Site が表示されています。 テスト拠点のDHCP設定 作成したSiteの拠点名をクリックすると、Siteの詳細設定が可能です。 Site Configuration > Network をクリックすると、先ほど設定したLAN側のアドレスレンジが設定されています。「Local IP」 は、Socket の LANインターフェイスのアドレスです。デフォルトで先頭アドレスが割り振られます。 DHCP設定を行うため、「Native」をクリックします。 Edit IP range 画面が表示されますので、以下のようにDHCPの設定を行います。 DHCP Type ⇒ DHCP Range DHCP Range ⇒ アドレス払い出しする範囲を上記図の例のように記載する 設定したら、「Apply」ボタンを押します。 Siteの設定画面に戻りますので、忘れず右上の「Save」をクリックし、設定を保存してください。 Socket接続 X1500 Socket の接続 X1500 Socket の電源を接続してください。電源スイッチはありませんので、電源接続すると起動します。 電源接続の右に、LANポートが並んでいます。以下のように接続してください。 3(WAN) ポート ⇒ Internet側 1 ポート ⇒ LAN側 (動作テストするPC端末) SocketをActivateする Socket が Internet に接続されると、CMAにて接続を検知します。 画面右上のベルのアイコンに、オレンジ色の通知が点灯したら、クリックして通知内容を確認します。 「Activate New Socket」という通知が表示されたら、通知内の「Accept」ボタンをクリックします。 すると、「Assign Site」というダイアログが表示されます。Socketを設置するSite(今回は作成したテスト拠点)をプルダウンで選択し、「OK」をクリックしてください。 以上で接続は完了です。 正しく接続されたか確認するため、Network > Sites を表示し、作成したテスト拠点をクリックします。続いて、左メニューで Site Cofiguration >Socket を選択します。 X1500 Socket が認識され、WAN1 が緑色になっていることを確認してください。 ※LAN1 にPC端末等が接続され UP している場合には、LAN1 も緑色に表示されます。 テスト用のPC端末を設定する Socket配下のPC端末から、Catoクラウド経由でインターネットへ出る場合、TLS Inspectionが動作しているため、Catoのルート証明書をインストールしておく必要があります。 証明書は以下よりダウンロードしてください。 Cato Downloads (catonetworks.com) Windows PC の場合、以下の手順にて証明書をインストールします。 入手した「CatoNetworksTrustedRootCA.cer」を右クリックし、「証明書のインストール」を選択 保存場所に「ローカルコンピューター」を選択し、「次へ」をクリック 「証明書をすべて次のストアに配置する」を選択 「参照」をクリックし、「信頼されたルート証明局」を選択し、「OK」をクリック 「次へ」をクリック 完了画面にて「完了」をクリック 以上でPCの設定は完了です。 ここまでの設定が問題なければ、このPCからCatoクラウド経由でInternet上のWebサイトへアクセスできますので、ご確認ください。 接続ログの確認 モバイルユーザ、テスト拠点からそれぞれアクセスができたら、Cato上でどのようにログが出ているかを確認しましょう。 CMAにログインし、Monitoring > Events にて、すべてのログが確認可能です。日付やログ種別、ユーザ単位での絞り込みもできますので、操作をお試しください。 まとめ モバイルユーザとテスト拠点をCatoクラウドに接続することができました。 引き続き、通信のチェックやセキュリティ機能のテストをお試しいただければ幸いです。 なお、SCSKではPoCの実施ご支援も承っています。本番構成への移行を見据えたPoC構成や、PoCでつまづきやすい点のサポートなど、豊富な導入実績を基にご支援いたします。ぜひお声がけください。

Catoクラウドの新機能 “Best Practices” がリリースされました。 “Best Practices”は、Catoクラウドの各機能の設定が、Catoの推奨設定と一致しているかを確認する機能です。 お客様のCato環境をよりセキュアに運用するため、ぜひご活用ください。 ここでは、”Best Practices” の内容と推奨設定についてご説明します。 本記事の内容は2023年8月15日時点のものです。チェック項目や機能等は随時アップデートされておりますので、下記のCato社ナレッジベースも合わせてご確認ください。 Cato Knowledge Base -Reviewing Best Practices for Your Account Best Practices の概要 Cato Management Application の以下よりアクセス可能です。 Monitoring > Best Practices 画面最上部に Score が表示されます。このアカウントがどのくらい推奨設定に沿っているかの指標です。100%に近づけるよう、各項目の設定を再チェックしていきましょう。 また、Best Practices のチェックは 24時間ごとに自動で行われますが、右端の更新ボタンを押すことで即時チェックが実行されます。設定の変更後などは再チェックをかけてみましょう。 各項目の右端が緑色で「Pass」と表示されていれば、推奨設定に沿っていることを示します。 赤の「Failed」となっている箇所は、推奨設定と異なっていることを示します。左端の「+」をクリックして詳細を確認してみましょう。 各項目の解説 Best Practicesの各項目について、具体的なチェック内容と推奨設定をご説明します。 Internet Firewall セクション Internet Firewall のセクションでは、その名の通り、Security > Internet Firewall の設定内容がチェックされます。 項目名 解説 Enable Internet Firewall Internet Firewall が有効化されているかどうかを判定します。 Block Risky Categories  「Spyware」や「SPAM」といった、リスクのあるURLカテゴリへの通信が Block に設定されているかどうかを判定します。この項目のURLカテゴリは、すべて Block することを推奨します。 Block/Prompt Suspicious Categories  「Uncategorized」や「Anonymizers」といった、疑わしいURLカテゴリへの通信が Block または Prompt に設定されているかどうかを判定します。 Block Risky Applications  「Tor」などの、リスクのあるアプリケーションの通信が Block に設定されているかどうかを判定します。この項目のアプリケーションは、すべて Block することを推奨します。 Block Risky Services  「Telnet」や「SSH」などのサービスの通信が Block に設定されているかどうかを判定します。Cato網から Internet に対してはこの項目のサービスはすべて Block し、必要な通信のみを個別のルールで許可することを推奨します。 Match the rule name with the rule action ルール名とActionに矛盾がないかを判定します。例えばルール名が「XXX_BLOCK」で、実際のアクションが Allow のルールが存在する場合、Failedとして判定します。 設定ミスを防ぐため、実態に合った命名を推奨します。 Define rules with the minimum required access 各ルールにて、最小限の許可が行われているかを判定します。具体的には、対象をすべて「Any」とした Allow のルールが存在する場合、Failedとして判定します。 ログ取得目的等で、このようなルールを意図的に設定する場合もありますが、そうでない場合には、SourceやApplication等を最小限に絞って設定することを推奨します。 WAN Firewall セクション WAN Firewall のセクションでは、Security > WAN Firewall の設定内容がチェックされます。 項目名 解説 Enable WAN Firewall WAN Firewall が有効化されているかどうかを判定します。 Block Risky Services  「SMBv1」や「Telnet」といった、レガシーなサービスの通信が Block に設定されているかどうかを判定します。この項目の通信は原則ブロックし、必要な通信のみを個別のルールで許可することを推奨します。 Define rules with the minimum required access 各ルールにて、最小限の許可が行われているかを判定します。具体的には、対象をすべて「Any」とした Allow のルールが存在する場合、Failedとして判定します。 ログ取得目的等で、このようなルールを意図に設定する場合もありますが、そうでない場合には、SourceやDestination等を最小限に絞ってルール設定することを推奨します。 Match the rule name with the rule action ルール名とActionに矛盾がないかを判定します。例えばルール名が「XXX_BLOCK」で、実際のアクションが Allow のルールが存在する場合、Failedとして判定します。 設定ミスを防ぐため、実態に合った命名を推奨します。 Threat Prevention セクション このセクションでは、Firewallを除く、Security 関連の設定内容がチェックされます。 項目名 解説 Enable NG Anti-Malware NG Anti-Malware が有効化されているかどうかを判定します。 Enable IPS IPS が有効化されているかどうかを判定します。 Set the IPS policy to block malicious activities IPS の Protection Policy にて、Action が Block となっているかを判定します。 Enable IPS Enforcement Options IPS の Enforcement Options にて、すべての項目にチェックが入っているかどうかを判定します。セキュリティ強化のため、各項目にチェックを入れ有効化することが推奨です。 Define IPS Geo Restriction rules IPS の Geo Restriction rules にて、特定の地域からのインバウンドまたは、特定の地域へのアウトバウンドを禁止する設定がされているかを判定します。 業務上の必要に応じて設定ください。 Too permissive Custom App セクション このセクションでは、Assets > Custom Apps の設定内容がチェックされます。 項目名 解説 Define specific parameters for Custom Apps 各Custom App にて、最小限の設定が行われているかを判定します。具体的には、Rulesで対象をすべて「Any」とした App が存在する場合、Failedとして判定します。Destination IP等を指定してルール設定することを推奨します。 TLS Inspection セクション 項目名 解説 Enable TLS Inspection TLS Inspection が有効化されているかどうかを判定します。 IPS や CASB の動作には TLS Inspection が必須のため、有効化が推奨です。 最後に Failed表示の項目があった場合は、推奨に沿った設定となるよう見直してみましょう。 また、見直し後も定期的に “Best Practices” ページの確認を行い、推奨から外れた設定がされていないかを確認するのがベストです。 設定内容にお悩みの際は、当社SCSKのCato担当エンジニアにぜひご相談ください。豊富な導入実績を基に、お客様の環境に沿った設定をご提案いたします。

前回は「Catoクラウドとは？」を解説しましたが、今回は、Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて解説します。 世界初のSASEプラットフォーム Catoクラウドとは？ Cato Networks社 の Catoクラウド（ケイトクラウド）についてご紹介します。 Catoクラウドは世界初のSASEのサービスであり、強固なセキュリティとシンプルな運用管理を実現します。 blog.usize-tech.com 2023.08.15 サービス基本料金 まず、Catoクラウドのサービス料金（課金）についてですが、以下の3つに対して基本料金が発生します。 拠点毎のPoP接続帯域、またはPoP接続総帯域 モバイルユーザ数 Socket数　 ※必要に応じて 拠点毎のPoP接続帯域、またはPoP接続総帯域 拠点は、” Site（サイト）ライセンス “というものになります。接続する拠点毎に、必要な帯域が25Mbps（最小）から、50M、75M、100M、200M、300M、400M、500M、600M、700M、800M、900M、1,000M、1,500M、2,000M、3,000M、5,000Mbps（最大）までメニュー料金が設定されています。 本社・支店・支社・営業所、データセンターなど物理的な拠点だけでなく、AWS、AzureなどのクラウドにもSiteライセンスが必要となります。契約帯域以上の速度はでません。それ以上の通信はQoS設定に従い、破棄（Discard）されます。 Siteライセンス以外に、2023年7月より総帯域（量）を購入する” Pooled（プールド）ライセンス ”の発売が開始されました。Pooledライセンスは、1,000Mbps以上での購入となります。Siteライセンスとは異なり、10Mbps単位で拠点への分割（増加/削減）を行うことができます。 料金については、Catoの提供地域（Region、リージョン）により異なります。日本は、 APJ （Asia Pacific and Japan）Regionとなります。 APJ 以外は、 NAM （北アメリカ）、 EUROPE （ヨーロッパ）、 AFRICA （アフリカ）、 MIDDLE EAST （中東）、 ANZ （オーストラリア）、 CHINA （中国）、 VIETNAM （ベトナム）、 LATAM （ラテンアメリカ）、 UAE （アラブ首長国連邦）、 MOROCCO （モロッコ）と合計11のRegionに分類されています。 モバイルユーザー数 モバイルユーザ（＝SDP※ユーザ）は、アカウント数による課金となります。 ※SDP･･･Software Defined Perimeter（ソフトウェア定義境界）はZTNAの別名です。従来型のリモートアクセスとは異なり、ゼロトラストの原則に則ったセキュアなリモートアクセス。Catoクラウドのリモート（モバイル）アクセスを意味します。 APJ、NAM、EUROPE、AFRICA、MIDDLE EAST、ANZ の Regionについては、共通の” Generalライセンス “となります。 CHINA、VIETNAM、LATAM、UAE、MOROCCO はそれぞれのRegion毎に別のメニュー体系となります。 購入したアカウント数以上は登録が行えません（エラーになります）ただし、予備で5ライセンスが付与されています。 SDPユーザは、10ユーザライセンスから購入が可能となります（予備を含むと15ライセンスになります） Generalライセンスについては、10～500、501～1,000、1,001～5,000、5,001～10,000、10,001･･･、とユーザ数毎に料金体系が異なります。 Socket数 Socketについては、物理ハードウェア Socketを一切利用せず、仮想アプライアンス（vSocket）や、既存ルータ・Firewall等を用いたIPsec接続のみを利用される場合は不要です。 Socketは、 X1500 、 X1600 、 X1700 の3機種があり、X1500が最大スループットが500Mbpsまで、2023年7月から提供開始となったX1600が1,000Mbpsまで、X1700が5,000Mbpsまでとなっております。 Socketは、冗長（HA）構成を行うことも可能です。予備機として手配することも可能ですが、手配したSocketすべてに費用が発生します。 Socketは、一括購入するのではなく、サブスクリプション（サービス課金）となります。 なお、Catoクラウドのご利用終了時には、返却いただく必要があります。   課金（請求）および契約について SCSKでは、 月額課金（月額請求） となります（一括請求も可能です） サービス基本料金と、後述のセキュリティオプションの合計を毎月ご請求いたします。 Siteライセンスの増速（例.25Mbps→50Mbps）は、増速した月からの追加課金（請求増）となります。 モバイルユーザの追加（例.+10ユーザ）も、追加した月からの追加課金（請求増）となります。 Socketについても、アップグレード（例.X1500→X1600）も可能です。 Catoクラウドのご契約期間は、 最低1年間 となります。 Catoクラウドの増速やモバイルユーザの追加、あるいはSocketのアップグレードは、契約期間中いつでも実施することが可能ですが、拠点の減速、モバイルユーザ削減、Socketダウングレードについては、契約更新時（更新月）にしか実施することができませんので注意が必要です。 また、契約期間中の増速・追加・アップグレードは、契約終了月までの契約になります。 例えば、2023年9月契約開始、2024年8月契約終了（1年契約）の場合に、2023年10月に拠点を増速した場合は、増速分の契約は、2023年10月から2024年8月の11ヵ月契約となります。 Catoクラウドの 最小構成 は、1 Siteライセンス、10 SDPユーザとなります。 上記最小構成は、モバイルユーザ 10名、拠点はクラウド（AWS）としてのSiteライセンス 25Mbpsとしています。 モバイルユーザ（APJ）については帯域の制限（上限）はありません。ただし、一部のRegionを除きます。 AWSのvSocketには料金は発生しません。ただし、AWSの利用量（仮想マシン利用、通信量等）は別途必要となります。 最小構成の費用感としては、定価ベースで年間60万以下（月額5万円以下）となりますので、他のSASEソリューションと比較すると、非常に安価でスモールスタートが可能なソリューションです。 ちなみに、Pooledライセンスは1,000Mbps以上の購入となりますが、Siteライセンスの100Mbpsをベースに価格設定されているため、100Mbps以下の拠点の合計帯域が1,000Mbps以上になる場合は、一度Pooledライセンスの購入検討を行われた方がよいです。 特に、25Mbps以下の低帯域（10M,20M）拠点が多く存在する場合は非常にコストメリットがでます。   オプション料金（セキュリティオプション） 現在、以下 6つのセキュリティオプションがあります（2023年8月時点） No. セキュリティオプション オプションサービス内容 1 Next Generation Anti-Malware アンチマルウェア（Anti-Malware）と次世代型アンチマルウェア（Next Generation Anti-Malware） 2 IPS Intrusion Prevention System 不正侵入防止システム（DNS Protectionを含む） 3 CASB Cloud Access Security Broker SaaS・アプリケーション利用の可視化/評価/制御 4 DLP Data Loss Prevention 機密情報や重要データの漏洩対策 5 RBI Remote Browser Isolation Webブラウザ分離 6 SaaS Security API 外部クラウドサービスのAPIによるセキュリティ検査（アンチマルウェア、DLP） セキュリティオプションは、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。 Site/PooledライセンスとSDPユーザは、必ず同じセキュリティオプションを選択する 必要があります。 Firewall機能（インターネット向けのInternet Firewall、拠点間のWAN Firewall、拠点内のLAN Firewall）や、SWG機能（URLフィルタリング）は、Catoの標準搭載機能となっています。 NGAM（AM） ･･･以前はAnti-MalwareとNext Generation Anti-Malware（NGAM）は別々のセキュリティオプションになっていましたが、NGAMに統合されました。いわゆるパターンファイルマッチングのアンチマルウェアと、機械学習エンジンを用いた振る舞い検知を含む次世代型のアンチマルウェアの2つ機能が利用できます。それぞれ別々にOn/Offが可能。 エンドユーザのデバイスにEPP（EDR）が導入されているので、本オプションを選択されないお客様もいますが、別ソリューションでの多重検査を要望されるお客様も多いです。 以下は、Anti-Malware（NGAM）の設定画面ですが、セキュリティオプションは、On/Offですぐに利用が可能です。 IPS ･･･ Catoクラウドで最もセキュリティ効果が高い機能と言えます。当社でCatoクラウドをご契約されているお客様では、一番多く選択されているオプションとなります。オンプレのIPS（IDS）と異なり、常に最新シグニチャを利用したサービス提供を受けることができます。AM/NGAMでは、検知できなくとも、クライアントがマルウェア感染した際の不正な外部通信（C&Cサーバとのアクセス）をIPSがブロックすることができます。 IPSには、不正なドメインへのアクセスをブロックする”DNS Protection”や、不審なアクセスをモニタリングする”Suspicious Activity Monitoring（SAM）”なども含まれています。順次機能強化されています。 CASB ･･･ SaaSアプリケーションやクラウドサービスの利用状況を可視化（＝シャドーITの可視化）を行います。Cato社で各アプリケーションを独自のセキュリティ・コンプライアンス等の視点で評価した Application Credibility Evaluator（ACE）を利用しており、それを元に管理者が、アプリケーション毎に利用許可（Sanction）を行うことが可能になります。さらにアプリケーションのアクティビティ単位での制御を行うことが可能になります。例えば、DropboxやGmailでダウンロードは許可するが、アップロードは許可しないなどです。また、Office365の企業テナントのみの利用を許可するなども、CASBオプションで実現が可能となります。 DLP ･･･ トラフィック上のすべてのファイルをスキャンして、機密情報の検出を行い、適切な措置を講じることができます。機密情報の特定には、事前にCato社で定義されたルール（データタイプ）を利用することも可能です。クレジットカードやマイナンバーカードなどは事前にルールが定義されていますが、個別に定義することも可能で、MIP（Microsoft Information Protection）ラベルとの連携も可能になっています。DLPオプションは、CASBオプションが選択されている必要があります。 RBI ･･･ ユーザーのエンドポイントデバイスの代わりに、Catoクラウドが、ユーザーのWeb閲覧セッションを実行し、その画面情報をユーザへ送信することによって、オンラインの脅威（不正プログラムのダウンロードや実行）を無力化するものです。 SaaS Security API ･･･ Catoクラウド以外から、SaaSアプリケーションやクラウドサービスを利用する場合、つまり外部とのコラボレーションを行う際の脅威を検出するために、SaaSアプリケーションへAPIを利用してセキュリティ検査（マルウェア検査やDLP）を行う機能となります。CASB、DLPのオプションが選択されている必要があります。SaaS Security APIは、1つのSaaSだけ検査可能な「SaaS Security API 1 App connector」、2つのSaaSを検査する「SaaS Security API 2 Apps connectors」、3つ以上のSaaSを検査する「SaaS Security API All Apps connectors」の3ライセンスになっております。 CASB、DLPは、昨年（2022年）にリリースされており、RBI、SaaS Security APIは、今年（2023年）にリリースされています。 今後も新たなセキュリティオプションが、順次リリースされてきますが、追加契約だけですぐに利用できるのがCatoクラウドの最大のメリットだと考えています。   マネージドサービス Cato社自身が提供する主要なマネージドサービスを2つご紹介します。 No. マネージドサービス サービス内容 1 MDR Managed Detection & Response 専任のセキュリティアナリストによるSOCサービス 2 ILMM Intelligent Last Mile Management ラストマイルインターネット回線管理サービス MDR ･･･ Cato社の専任のセキュリティ専門家によるアセスメントから、ゼロデプロイメント、全てのトラフィック常時監視し、継続的な脅威ハンティングサービスを提供します。また、個別のMDRポータルを提供（今後はCMAに統合予定）し、定期的なレポートとサービスレビュー（オンライン会議）が行われます。ただし、残念ながら、2023年8月時点では、MDRは英語対応のみ（レポートおよびオンラインのレビュー会議）となっており、 日本語は未対応 となっております。 ※そのため、SCSKでは、個別に日本語対応したSOCサービスを提供しております。 ILMM ･･･ Cato社のNOC（Network Operations Center）が、ラストマイルのインターネット回線のブラウンアウト（回線の品質やレスポンスが規定に満たない状況）や、顕著なパフォーマンス低下やブラックアウト（回線断）をリアルタイムに監視（検知）します。NOCが問題を検知し、回線を特定すると、NOCは、直接ISPへ（日本国内の場合は日本語で）連絡を行い問題解決を図ります。ISPと協力し、ネットワークの問題原因を特定し、問題解決を図り、お客様へ対応内容を適宜ご報告します。 ※ISPには、事前にお客様の委任状をいただくことで、ISPへの直接問い合わせを代理で実施します。 Cato社の主なマネージドサービスであるMDRとILMMを紹介しました。 マネージドサービスも、セキュリティオプションと同じく、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。   SCSKが提供するマネージドサービスについて SCSKでは、2019年よりCatoクラウドの取り扱いを開始し、お客様からのニーズに応じて様々なマネージドサービスをリリースしております。 Catoクラウドをご検討中のお客様へのPoCの支援から、初期の要件定義、設計・構築・導入支援、既存WANからの移行設計/移行支援、インターネット回線の調達から、拠点のSocket設置作業など、ご要望に応じて、あらゆるサービスを提供することが可能です（海外を含む） また、SASE、Catoクラウドは、既存WANや、セキュリティ機器の置き換えになるため、初期の構築だけでなく、運用保守が非常に重要となります。 そこで、SCSKが提供しているマネージドサービス（一部）をご紹介します。 No. SCSKマネージドサービス サービス概要 1 サービス窓口（SPOC） 24時間365日の電話・メールでのサービス受付窓口をご提供します。 海外拠点向けの英語での24時間365日の受付窓口もご準備しています。 2 障害一次切り分け 障害検知時、またはお客様からの通報にて、障害箇所（Catoクラウド/Socket/ネットワーク回線等）の一次切り分けを行います。 3 変更作業代行 お客様に代わってCatoクラウドの各種設定変更作業を実施します。 4 月次報告会 Catoクラウドから取得した各種データを分析して月次報告書を作成します。 ネットワークトラフィックの傾向分析、各種セキュリティログの分析結果を基にレポートを作成し、報告会を開催します。 5 Socketオンサイト保守 Socketのオンサイト24時間365日（駆付目標：4時間）保守サービス。 当社でSocket代替を事前手配した特別保守サービス。海外拠点向けのオンサイト保守サービスもご準備しています。 6 SOC監視サービス Catoクラウドのセキュリティログをセキュリティアナリストがリアルタイムで監視・分析を行い、必要に応じて、お客様へ電話・メールで通知を行います。 7 セキュリティ アドバイザリサービス お客様からの依頼に基づき、セキュリティアナリストが頂いた情報を調査・分析、知見をご提供します。 サービス窓口 ･･･ 24時間365日の電話、およびメールの窓口となります。障害のお問い合わせを始め、Catoクラウドの技術的なお問い合わせについても、サービス窓口で受付を行います。なお、技術問い合わせの回答については、平日9:00-17:00対応となります。 また、サービス窓口のご契約で、当社が運営するFAQサイトの契約者IDをお知らせします。FAQサイトには、一般公開情報とは別の追加情報や、Knowledge Baseへのリンク、当社作成の手順書・マニュアルなどをご提供しております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp 月次報告会 ･･･ Catoクラウドから取得できるトラフィックデータや各種ログ（Events）を取得し、集計・分析した結果から月次報告書を作成します。ネットワークトラフィックの分析（当月度、および過去半年間の傾向分析）、各セキュリティログの集計・分析、Catoクラウドの最新情報をまとめて月次報告書として作成し、報告会（オンライン）を開催します。 Socketオンサイト保守 ･･･ Socketのハードウェア障害時の日本全国4時間駆け付け目標のオンサイト保守サービスとなります。交換を行うSocketの代替機も、SCSKで事前に準備しておりますので、お客様で予備機を手配しておく必要がありません。（予備機費用が削減できます） SOC監視サービス 、 セキュリティアドバイザリサービス は、以下をご覧ください。 SASE「Catoクラウド」のセキュリティ・マネージドサービス機能を強化 SCSK株式会社（本社：東京都江東区、代表取締役 執行役員 社長 最高執行責任者：谷原 徹、以下 SCSK）は、SASEの概念を実装したネットワークセキュリティクラウドサービス「Catoクラウド」のセキュリティにおける検知・対応・復旧を強化する各マネージドサービスを2022年1月28日より提供開始します。 www.scsk.jp また、最近では、マネージドサービスではありませんが、Catoクラウドの現状設定内容について確認をして欲しいというお客様のご要望も多く、セキュリティ・アーキテクト・コスト（経済性）の3つの観点からCatoクラウドの現状設定内容のチェックを行う「 SASE設定診断サービス for Catoクラウド 」のご提供も開始しております。 今後は、当社の推奨設定やノウハウを取りまとめた「 Catoクラウド リファレンスガイド 」や「 APIツールキット 」のご提供も予定しております。   まとめ Catoクラウドのサービス体系、課金・契約、セキュリティオプション、マネージドサービスについてご紹介をしました。 また、SCSKのマネージドサービスについても合わせてご紹介させていただきましたが、もし興味がお持ちの方がいらっしゃれば、ご遠慮なくお問い合わせください。 “SASE”自体の知名度も低く、”Catoクラウド”、”Cato Networks”の知名度もはまだまだ低い状況です。 SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（S4）」を定期的に開催しており、それ以外には、Catoクラウドのお客様導入事例の制作、FAQサイト運営を行っております。 この TechHarmony（技術ブログ）で、さらに、皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。