Catoクラウドの「 Cato SSE 360 」について、きちんと解説されている記事がなかったので改めて解説をします。 Cato SSE 360 のプレスリリース Cato Networksが、新SSEプラットフォーム「Cato SSE 360」と、その一機能として「Smart DLP」を発表 Cato Networks株式会社のプレスリリース（2022年7月26日 09時30分）Cato Networksが、新SSEプラットフォームと、その一機能としてを発表 prtimes.jp まず、「Cato SSE 360」は、昨年2022年7月にリリースされたのですが、その時のプレスリリース内容が、 Cato Networks、すべてのアプリケーションへのアクセスを保護および最適化する初のSSEプラットフォーム「Cato SSE 360」とその一機能として「Smart DLP」を発表 Cato DLP（Data Loss Prevention）は、レガシーDLPの実装や運用に伴う煩雑性を解消します。 Cato SSE 360は、WAN、クラウド、インターネットトラフィックを完全に可視化、最適化、制御する初のSSEプラットフォームです。 と、そもそも”SASE”や”SSE”自体の認知度が低く、さらに上記内容の発表のため、さっぱり中身が伝わっていませんでした。 そのため、当社のお客様からも多くの問い合わせがありました。 まず、リリースの内容をきちんと説明すると Catoクラウドの 新しいセキュリティオプション「DLP」をリリース Catoクラウドの 新しいライセンス体系「Cato SSE 360」をリリース の2つになります。 この2つを同時にリリースしたので、ややこしくなってしまったと考えています。 1.のDLPについての説明は割愛します。以下の記事をご参照ください。 Catoクラウドのサービス体系について Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて紹介します。 blog.usize-tech.com 2023.08.17 新しいセキュリティオプションのリリースで、CASBは2023年2月にリリースされ、DLPが7月にリリースされました。 それでは、2.の「Cato SSE 360」について説明します。 Cato SSE 360 について まず、Catoクラウド（Cato Cloud/Cato SASE Cloud）は、当たり前ですが、 SASE（Secure Access Service Edge） です。 Cato Networks社のCatoクラウドは、ガートナーが2019年にSASEを定義する以前（4年前）から、SASEのアーキテクトでサービスを開始していたため、世界初のSASEプラットフォームと言われています。 SSE（Secure Service Edge） については、Catoでは以下のように定義しており、あくまでも SSEは、SASEのサブセット（一部分）で「Cloud SWG」「ZTNA/VPN」「CASB/DLP」のみの機能に限定されたもの としています。 ※ちなみに、ガートナーのSSE定義は「SWG」「CASB」「ZTNA」の3機能で、「DLP」やその他の機能（FWaaS等）は含みません。 それでは、名前が”SSE”ではない”SSE 360″について、Catoの定義は、 Cato SSE 360≠SSE →SSE 360は、そもそもSSEとは異なる。明確にSSEではないと言っています。 従来のSSEでは対処できないことをカバー →つまり「SWG」「ZTNA/VPN」「CASB/DLP」以外の機能も提供する（つまり、SSE < SSE 360） Cato SSE 360によりすべてのトラフィック、ユーザー、ロケーション、クラウド、アプリケーションの完全な可視化と制御 →ZTNA/VPN（モバイルユーザ）だけでなく、拠点接続もカバーする（つまり、SASEです） Catoクラウド（SASE）と「Cato SSE 360」は何が違うのか？になりますが、 違いは「Socket/vSocketを使わない」ということだけ です。 「Cato SSE 360」は、AWS、Azureなどのクラウドを含む拠点接続において、SocketおよびvSocketを利用しない場合にのみ適用されるより安価な価格体系のことを意味しています。 Socket/vSocketを利用しないということは、ルータやファイアウォール（UTM）でのIPsec接続を行うと言う事になります。 複数拠点の内、1拠点だけ「Cato SSE 360」を適用することも可能です。 ※Catoクラウドの最小構成は、1 拠点（Site）ライセンス、10 SDPユーザとなります。 Catoクラウドは「 SASEライセンス 」となり、Cato SSE 360では「 SSEライセンス 」となります。 もちろん、SSEライセンスでは、Socket/vSocketで拠点（Site）を構成することはできません。 サービス契約（利用）中に、拠点がIPsecからSocket/vSocketを利用することも可能ですが、その際にはサービス契約が「Cato SSE 360」の適用除外となり、その時点から通常のCatoクラウド（SASE）の価格体系が適用されることになります。 結局「Cato SSE 360」って何なのか？になりますが、繰り返しになりますが” 「Cato SSE 360」は、SSEではなく、SocketおよびvSocketを一切利用しない場合にのみ適用されるCatoクラウドのライセンス体系 “のことです。 プレスリリースが、セキュリティオプションのDLPを同時にリリースしたため、ややこしくなりましたが「Cato SSE 360」は単純に条件付きの安価なメニューとなります。 実際にどれくらい価格が違うのかについては、契約帯域により割引率が大きく異なります。定価ベースで、3～4割安価にある帯域がありますが、殆ど価格が変わらない帯域もあります。狭帯域（低速の帯域）の場合にメリットはありますが、広帯域では殆ど価格は変わりません。 ちなみに、Catoクラウドの”定価”については、Cato Networks社の公式サイトでは価格を公開しておらず（つまり、”参考小売価格”が存在しません）、メーカの”希望小売価格”となります。（”オープン価格”ではありません） 以前の記事に記載していますが、Catoクラウドの最大のメリットの１つが、Socket/vSocketにあると考えていますので、IPsec接続は、既存ルータやファイアウォールの流用であれば良いですが、新たに拠点エッジを手配する場合は、コスト面で「Cato SSE 360」を選ばれるのではなく、本来のCatoクラウド、つまりSASEライセンスを選択されることを推奨します。 Socket/vSocketとIPsecの比較 Socket/vSocket IPsec Socketには、最適化されたPoP選択機能が実装されており、ネットワーク遅延を最小限に抑えることができる最適なPoPに自動で接続することができます。 Socketは、現在のPoPで接続性問題が発生した場合、別のPoPに自動的に再接続を行います。 Socketには、QoSサービスが含まれます。 CatoクラウドからのSocketの管理機能とリモート管理機能が含まれます。 Bypass、Local Port Forwarding、LAN Firewall機能が利用可能。 ラスト・マイル・モニタリングとトラブルシューティングツールが利用可能。 IPSec接続は、特定のPoPに静的に割り当てられます。PoPへの接続性に問題がある場合、接続断が発生する可能性があります。別のPoPへの自動的に再接続する機能がありません。 IPSecプロトコルは、実装ベンダーが異なるため、IPSecの実装が切断される可能性がある（責任分界点が異なります） 別途、固定IP（IP Allocation)が必要となる。 インターネット回線のActive/Activeの設定を行うことができない。 Socketの機能（Bypass、Local Port Forwarding、LAN Firewall等）が利用できない。 まとめ 毎度のことですが、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（通称 S4）」を定期的に開催しております。 次回は2023年10月に開催を予定しております（2023年9月時点） Catoクラウドについては、お客様導入事例の制作や、FAQサイトの運営を行っております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp この技術ブログ（TechHarmony）で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。

こんにちは、SCSKの青木です。 今回は先日のGoogle Cloud Next’23にて一般提供されたVertex AI Search and Conversationを触ってみました。 サービス概要はこちらをご覧ください。 Vertex AI Search and Conversation is now generally available | Google Cloud Blog Vertex AI Search and Conversation is now generally available. Build and deploy search engines and chatbots quickly and responsibly. cloud.google.com 本サービスはEnterprise Search on Generative AI App Builderとしてプレビューでリリースされておりましたが、今回のGoogle Cloud Next’23にサービス名を改め、一般提供されたようです。 社内ではいろいろ検証が進んでいるようですが、私は半年以上育児休業をしていたため、技術キャッチアップすべく触ってみました まずはSearchだけですがブログに残させていただきます。 触ってみる まず、コンソールから探してみます。 サービス名がVertex AIなので、Vertex AIのコンソールに最初に行ってみます。   むむむ、残念ながらSearchやConversationぽいものが見当たりません。 よく見るとVertex AI の下にGen App Builderが残っているのでこちらをクリックしてみました。   以下のようにAPI有効に関する画面が現れました！ 有効にしますと、しばらくたつと以下のような画面が現れたので 今回は検索のほうをクリックしてみます。 エディションやLLMに関する設定とエンジン名、リージョンを決める必要がありましたので今回は以下の設定値で進めます。 Enterprise edition features: on Advanced LLM features: on エンジン名: aoki-first-engine リージョン: global 続行を押すとデータストアを設定する画面が出てきました！ 今回は比較的サクッと設定できそうなCrawlerを試していきたいと思います 「CREATE NEW DATA STORE」押します。 ソースタイプとして「Public Web Content Crawler」を選択します。 そして対象のWebサイトでは弊社の技術ブログサイト全体を指定してみました。 データストア名を設定して「作成」を押します。 データストアが出来上がると、Appのデータストア選択欄に作成したデータストアが出てきました。こちらを選択します。 これでAppは出来上がったようです！ 最後にその機能を試してみたいと思います。 左のペインから「プレビュー」を選び、検索したい文字列を入力してみました。 今回は手始めに「gcp」と入力してみます。 無事にサイト内検索ができました。 ほかにも以下のようなキーワードではない検索をやってみました。 さいごに 今回はGoogle Cloud Next ’23で発表されたVertex AI Search and ConversationのSearchを触ってみました。 次回はConversationを触ってみたいと思います。

既存ネットワークからCatoクラウドへの移行の際に、お客様からのご要望が多いロンゲストマッチの原則を利用する方法をご紹介します。 Catoはアドレス重複登録ができない Catoで拠点（サイト）登録していくにあたり、ネットワークアドレス/サブネットが重複した拠点を登録する事はできません。全く同じサブネットの拠点を2つ登録できないのは理解できますが、サブネット長が異なっていても登録ができません。図1では、DC拠点のサブネットは「/24」ですが、将来のアドレス拡張を見越してCatoは「/16」で設定しています。その上で拠点Aに、DC拠点のサブネットに内包されるアドレスレンジを登録しようとすると「Site range overlaps with site ‘xxxx’ range」の様なエラーとなって登録する事ができません。という事はCatoでは、ネットワークの世界では一般的なロンゲストマッチの原則を活かした設計ができないという事になります。                                         図1.アドレスレンジの重複設定が不可     ロンゲストマッチが使えない事で生じる問題 ロンゲストマッチが使えない事で生じる問題として、既存ネットワークからCato移行時のケースを図2に示します。 DC拠点をHUBにして拠点Aを既存ネットワークからCatoに切り替えその後も他拠点と通信する場合、DC拠点のNetworksの設定は図2の通り192.168.0.0/16を分割して8つのサブネットを登録する必要があります。要するにロンゲストマッチが使えないので拠点Aのアドレス（192.168.10.0/24）を除いたサブネットを設定する必要があるのです。(ここではStaticルートを前提としています）                                        図2. サブネットが被らない様にルートを設定 拠点Aの切り替え後、次に拠点Bの切り替える際は、今度は拠点Aと拠点Bを除いた設定に変更しなければなりません。100拠点が繋がるネットワークだとしたら毎回毎回サブネットを計算して変更を繰り返す必要があるという事です。 IP Overlappingを有効化にする IP Overlappingを有効化にする事でこの問題を回避する事ができます。IP Overlappingを有効にした後のDC拠点のNetworksの設定は図2の通りRoutedは1行で済み、拠点の切替えの度に設定変更する必要がなくなります。                                        図3. IP Overlappingを有効化した時のルート設定 従来の物理ルータ等で構成したネットワークだと当たり前の事かもしれませんが、Catoの場合は注意が必要です。 IP Overlappingの設定方法 IP Overlappingは、以下の設定箇所でIP Overlappingを有効化します。(以前はCatoに申し込みが必要でした） Administration >System Settings > IP Overlapping（2023年8月現在）                                       図4. IP Overlapping設定箇所 要注意！ ～一度有効化したら戻せない～ IP Overlappingを有効化する上で重要な注意事項が4つあります。 IP Overlappingを有効化するとStatic Range Translation機能が使えなくなります。 Static Range Translationは、拠点のアドレスが重複すると分かっている場合PoPにてサイトのアドレスを丸ごと変換する機能です。 設定箇所：Administration>System Settings>Static Range Translation 一度有効化にすると元には戻せません。”戻す” イコール “テナントの作り直し” です。 Catoの管理アドレスレンジ（10.254.254.0/24）はロンゲストマッチの対象外。 既存ネットワークのアドレスにクラスA（10.xx.xx.xx）を使用している場合、上記図2のDC拠点のNetworksの設定は、10.254.254.0/24を除いた設定にしなければなりません。 SDPユーザー用のPoolアドレスレンジもロンゲストマッチの対象外。 同様にSDPユーザー用のPoolアドレスレンジもロンゲストマッチの対象外です。よって上記の構成例の様にクラスC（192.168.xx.xx）を使用しているのであれば、SDPユーザーのPoolアドレスはクラスB（172.16.xx.xx）等にした方が良いかもしれません。 特に1と2については影響が大きいので、IP Overlappingを有効化する前に現状のアドレス体系を十分に確認しておく事と、有効化した後は「アドレスが被る拠点が出てきた場合はアドレスを変更して接続する」というポリシーを定めておく必要があります。 最後に SCSKは既存ネットワークからCatoクラウドへの移行についても豊富な経験があります。もし今のネットワークからの移行に不安があれば、是非SCSKにご連絡下さい。

先日 （2023年8月9日）当社が独自調査した「 国内企業における SASE に関する実態調査結果 」を公開しました。 https://www.scsk.jp/news/2023/pdf/20230809i.pdf 上記リンクに記載の通りですが、企業のネットワークは、これまでの境界型防御からゼロトラストに向けた大きな変革期を迎えており、「ゼロトラスト」概念のネットワークおよびセキュリティを具現化するために、ネットワークとセキュリティを統合したクラウドサービスである SASEが注目されています。 ※ SASE （Secure Access Service Edge、サッシー、サシー、サーシ）･･･ガートナーが2019年8月発行したレポート「 The Future of Network Security Is in the Cloud（ネットワーク・セキュリティの未来はクラウドにある） 」において提唱した、新たなネットワークセキュリティフレームワーク。 SASE に関する実態調査の背景 SASEに関する説明は、今回は割愛しますが、SCSKでは、2021年よりSASEの主要なソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称 S4)」をこれまで 12 回開催しており、直近の2023年6月の開催では200名以上、これまでは延べ 1,000 名以上の方々にご参加を頂いております。 この S4 セミナーを通じて多くの参加者の皆さまからのアンケートを集めると、SASEに関する世間で類似の調査結果（例. SASE導入着手企業が6割、導入済み企業が4割など）よりも、実際の認知度や導入企業数はもっと低いのではないかという仮説が上がっていました。 SASEについては、2023年度から本格的な普及期に入ることが予測されていることもあり、このたび外部調査企業の協力を得て、国内企業（n=339 社）への実態調査を 2023年6月に実施し、その調査結果（レポート）を無料で公開したものになります。 詳しい調査結果（レポート）については前述のリンクより是非ダウンロードください。 結論から言いますと、当社の仮説が正しく、SASE認知度および導入企業率は大きく異なっていました。 「 SASE についてご存知ですか？ 」という質問に対して、「よく知っている」と答えた企業はわずか 5.9% にとどまっています。「ある程度知っている」と答えた企業も 25.7% にすぎず、「あまり知らない」は 42.5% 、「全く知らない」は 26.0% に上っており、 全体の 7 割近い企業で SASE の認知・理解がされていない ことが分かりました。 次に「 SASEの導入状況について教えてくださ い」という質問に関しては、 「すでに導入済み」はわずか 10.0% で、「現在導入中」が3.5%、「導入計画中」が15%であり、「導入を予定していない」が32.7%、「全くわからない」が38.6%となっています。 しかしながら、「導入済み（10%）」「現在導入中（3.5%）」「導入計画中（15%）」の合計が 28.5% となっており、キャズム理論においては、イノベーター（市場全体の2.5%）、アーリーアダプター（市場全体の13.5%、累計16.0%）から、アーリーマジョリティ（市場全体の34%、累計50%）への SASE 採用がすでに開始、あるいは計画されおり、 キャズムを超え、市場の普及が進んでいる ことが分かりました。 つまり、2023年、または2024年が、本格的な SASE 普及の年になるのは間違いないことが分かりました。   Cato クラウドの認知度について 一方で、Cato Networks社 の Catoクラウド（Cato Cloud/Cato SASE Cloud）の認知度についてです。 実は、先にご紹介した調査結果（レポート）には掲載をしていませんが、Catoクラウド個別の認知度調査結果があります。 「 Catoクラウドをご存知ですか？ 」という質問に関しては、「よく知っている」については、わずか 1.8% で、「ある程度知っている」についても9.7%、「あまり知らない」が23.9%、「全く知らない」が64.6%で、Catoクラウドについてご存知ない方が、なんと88.5%という結果になりました。 つまり、SASEの普及期に関わらず、 9割の方がCatoクラウドを知らない という結果になったので、Catoクラウドの認知度向上のために、この度、技術ブログ（TechHarmony）を新たに開始することにしました。   まとめ 前述しましたが、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（通称 S4）」を定期的に開催しており、次回は2023年10月に開催する予定です（2023年8月時点） それ以外にも、Catoクラウドのお客様導入事例の制作や、以下のCatoクラウドのFAQサイトの運営を行っております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp この技術ブログ（TechHarmony）で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。

はじめに Catoクラウドの拠点構成として、以下の表に記載の構成パターンがございますが、 本投稿では、Socket1台・インターネット回線2本構成とSocket2台・インターネット回線2本構成について解説していきたいと思います。   ▼表1.Catoクラウドの拠点構成一覧 Socket インターネット回線 本記事にて解説する構成 1台 1本   1台 2本 〇 1台 3本以上   2台 1本   2台 2本 〇 2台 3本以上     Cato Cloudについての詳細はこちらをご参照ください！   Catoクラウド 変化する働き方に必要な「ゼロトラスト」を実現する「ネットワークとセキュリティを統合したクラウドサービス(SASE)」であるCatoクラウドをご紹介しています。 www.scsk.jp   Cato Socketについて まずはCato Socketについてご紹介です。 今回使用したのはX1500というモデルで、外観はこのような感じです。 このモデルはスループット(上下の通信の合計値)が最大500Mbpsですが、これより広帯域が必要な場合は、X1500より上位のX1600やX1700から選択することができます。 今回の検証では500Mbpsで十分なのでX1500を使用しました。 また、X1500は4ポートのギガビットイーサネットを搭載しており、左からWAN×2ポート、LAN×2ポート、コンソール×1ポートという並びになっています。 その他特徴は以下にまとめました。 ▼表2.X1500の仕様 寸法 W:165mm×D:105.5mm×H:43mm or W:180mm×D:130mm×H:30mm （dual rack mount available） CPU Intel® Atom™ processor システムメモリ 4GB ストレージ 16GB Ethernetポート 4×1GbE スループット 500Mbps   構成例 続いて、本投稿にて解説する3つの構成についてです。 構成1. Socket1台 インターネット回線2本構成 構成1は、インターネット回線2本を1台の Socket で直接終端する構成です。 インターネット回線はActive/ActiveまたはActive/Passiveにて設定が可能ですが、本投稿ではActive/Passiveとした場合について解説します。 構成2. Socket2台 インターネット回線2本構成 構成2は、Socket2台・インターネット回線2本の構成で、2パターン解説します。 パターンA パターンAの構成は、Socket1台に対しインターネット回線を2本接続し、Internet回線とSocketを冗長化した構成です。 インターネット回線はActive/ActiveまたはActive/Passiveとすることが可能ですが、本投稿ではActive/Passiveとした場合について解説します。 SocketはActive/Passive のみ可実装可能です。 パターンB パターンBの構成は、Socket1台に対しインターネット回線を1本接続し、Internet回線とSocketを冗長化した構成です。 インターネット回線はSocke1台に対してインターネット回線1本のためActive設定とします。 またSocketは前述の通り、Active/Passive のみ実装可能です。 障害時の通信フロー ここで、各構成で障害を発生させた際の通信フローについて解説していきたいと思います。 障害パターンは以下4パターンの想定です。 障害パターン Socketの筐体障害 SocketのLAN側切断 Socket と Catoクラウド PoP間のVPN切断 インターネット回線品質低下（SLA閾値を下回る） 構成1 障害パターン1・2発生時 Socketおよびインターネット回線の切り替わりは発生しませんでした。 構成1は、図からもわかる通り Socketが1台のみの構成です。 そのため、Socketの筐体障害およびLAN切断時のSocketの切り替わりが不可となり、通信を継続させることができません。 障害パターン3・4発生時 インターネット回線の切り替わりが発生し、通信を継続させることができました。 Socketがwan1側のVPN切断やActive回線の品質低下を検知すると、wan2インターフェイスのステータスをPassiveからActiveに変更し、wan2経由で通信を継続します。 この時、TCPコネクションは継続され、Socket配下の端末から接続先アプリケーションへの通信は継続することが可能です。 さらに、Socketがwan1側のVPN接続やActive回線の復旧を検知すると、自動的にwan1経由の通信へと切り戻ります。 まとめ 筐体障害やLAN切断発生時、通信が全断する可能性があります。 VPN切断や回線品質低下による、インターネット回線の切り替わりは可能です。 VPN切断や回線品質低下による、インターネット回線切り替わりの際、TCPコネクションは継続されます。 VPN接続や回線品質復旧時、通信は自動で元の通信経路に切り戻ります。 各障害発生時の切り替わり可否や切り替わり時間についてまとめると下表のようになります。 ▼表3.構成1における各障害発生時の切り替わり可否と切り替わり時間 障害パターン 障害時の切り替わり 復旧時の切り戻り １ 筐体障害 × × ２ LAN側切断 × × ３ VPN切断 〇：インターネット接続が10秒以上断 〇：wan1側が復旧後即時で切り戻り ４ 回線品質低下 〇：SLA閾値を下回る状態が130秒以上継続 〇：10分毎にSLA条件を再評価し問題ない場合切り戻り 構成2(パターンA) 障害パターン1・2発生時 Socketの切り替わりが発生し、通信を継続させることができました。 Socket(Passive)はSocket(Active)の筐体障害およびLAN切断を検知すると、SocketHAステータスをPassiveからActiveに変更し、Socket(Passive)経由で通信を継続します。 この時、TCPコネクションは継続され、Socket配下の端末から接続先アプリケーションへの通信は継続することが可能です。 さらに、Socket(Passive)がSocket(Active)の筐体およびLANの復旧を検知すると、自動的にSocket(Active)経由の通信へと切り戻ります。 障害パターン3・4発生時 インターネット回線の切り替わりが発生し、通信を継続させることができました。 Socket(Active)は、wan1インターフェイス側のVPN切断およびActive回線の品質低下を検知すると、wan2インターフェイスのステータスをPassiveからActiveに変更し、Socket(Active)のwan2経由で通信を継続します。 この時、TCPコネクションは継続され、Socket配下の端末から接続先アプリケーションへの通信は継続することが可能です。 さらに、Socketがwan1側のVPN接続やActive回線の復旧を検知すると、自動的にSocket(Active)のwan1経由の通信へと切り戻ります。 まとめ 全障害パターンで切り替わりが発生し、通信を継続させることができます。 切り替わりの際、TCPコネクションは継続されます。 復旧時、通信は自動で元の通信経路に切り戻ります。 各障害発生時の切り替わり可否や切り替わり時間についてまとめると下表のようになります。 ▼表4.構成2(パターンA)における障害発生時の切り替わり 障害パターン 切り替わり時間(障害時) 切り替わり時間(復旧時) １ 筐体障害 〇：VRRPハートビート1秒×3回断 〇 ２ LAN側切断 〇：VRRPハートビート1秒×3回断 〇：lan1が復旧後即時で切り戻り ３ VPN切断 〇：インターネット接続が10秒以上断 〇：wan1側が復旧後即時で切り戻り ４ 回線品質低下 〇：SLA閾値を下回る状態が130秒以上継続 〇：10分毎にSLA条件を再評価し問題ない場合切り戻り 構成2(パターンB) 障害パターン1・2・3発生時 Socketの切り替わりが発生し、通信を継続させることができました。 Socket(Passive)はSocket(Active)の筐体障害およびLAN切断を検知すると、SocketHAステータスをPassiveからActiveに変更し、Socket(Passive)経由で通信を継続します。 また、Socket(Active)のVPN切断時についても同様に、Socket(Passive)はSocket(Active)のwan1インターフェイス側のVPN切断を検知し、SocketHAステータスをPassiveからActiveに変更することで、Socket(Passive)経由で通信を継続します。 この時、TCPコネクションは継続され、Socket配下の端末から接続先アプリケーションへの通信は継続することが可能です。 さらに、Socket(Passive)がSocket(Active)の筐体・LAN復旧およびVPN接続の復旧を検知すると、自動的にSocket(Active)経由の通信へと切り戻ります。 障害パターン4発生時 Socketおよびインターネット回線の切り替わりは発生しませんでした。 Socket(Active)側の回線品質が低下しても、 Socket(Passive)はSocketHAステータスをPassiveからActiveに変更することはできないため、Socketの切り替わりは発生しません。 さらに、構成2(パターンB)は、図からもわかる通りSocket1台に対しインターネット回線を1本接続した構成です。 そのため、Socket(Active)でwanインターフェイスの切り替えができず、Socket(Active)のwan1経由で通信を継続します。 つまり、不安定な通信が継続される可能性があるといえます。 まとめ 回線品質低下による切り替わりを考慮しない場合のみ、有効な構成です。 ※回線品質劣化による切り替わりを考慮する場合は、構成2(パターンA)が推奨です。 筐体障害やVPN切断、LAN切断による、Socketの切り替わりの際、TCPコネクションは継続されます。 筐体・LAN復旧およびVPN接続の復旧時、通信は自動で元の通信経路に切り戻ります。 各障害発生時の切り替わり可否や切り替わり時間についてまとめると下表のようになります。 ▼表5.構成2(パターンB)における障害発生時の切り替わり 障害パターン 切り替わり時間(障害時) 切り替わり時間(復旧時) １ 筐体障害 〇：VRRPハートビート1秒×3回断 〇 ２ LAN側切断 〇：VRRPハートビート1秒×3回断 〇：lan1が復旧後即時 ３ VPN切断 〇：インターネット接続が10秒以上断/VRRPハートビート1秒×3回断(最大13秒) 〇：wan1側が復旧後即時で切り戻り ４ 回線品質低下 × × 構成比較検討 最後に、通信の継続性の観点から3つの構成を比較した結果です。 通信の継続が構成検討時の必須条件である場合、構成2(パターンA)が推奨ですが、 Socketの切り替わりを考慮しない場合は構成1、回線品質低下による切り替わりを考慮しない場合は構成2(パターンB)でも実装が可能です。 ▼表6.構成比較表 Socket インターネット回線 構成例 継続性 1台 2本 構成1 △：一部継続不可 2台 2台 構成2(パターンA) 〇：継続可能 2台 2台  構成2(パターンB) △：不安定な通信が継続される可能性あり   まとめ 本投稿では、Catoクラウドの拠点内構成のうち、冗長構成について説明いたしました。 Catoクラウド導入や拠点展開のご検討時にお役に立てば幸いです。 なお、本投稿はCatoのナレッジベースを参考に作成しています。 SocketのHA構成についての詳細はこちらをご参照ください！ ソケット高可用性(HA)とは – Catoナレッジベース (catonetworks.com) なお、弊社の FAQ サイトでは 、よくあるご質問やCato クラウドのアップデート情報を公開しておりますので、是非ご参照ください！ よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp

ログ保管期間の課題 2023年8月現在、Cato クラウドのイベント (Events) ログは Cato 側で6か月間保存されており、その期間内であれば Cato Management Application (CMA) でログの内容を確認できます。また、 Guide to Cato Data Lake Storage (EA) の記事にて、将来的には3か月間だけ無償で保存されるようになるものの、別途契約すれば6か月または1年間保存できるようになるとアナウンスされています。 しかし、ユーザ様企業によっては、監査やセキュリティインシデント対応などの目的で、ユーザやセキュリティ関連のログを1年を超えて保管する必要があり、ログの保管期間が課題になるという方も多いのではないでしょうか。 CMA の画面にはイベントログをエクスポートして手元に保存する機能が用意されていますが、ひと月当たり数億～数十億件のログが出力されることもあり、量が膨大でエクスポートするのは困難です。また、イベントログを取得する API もありますが、一度に取得できるログの件数の制限やその他原因により、全てのログを取得することもできません。 別の機能として、Cato クラウドにはイベントログを Amazon S3 に出力してくれる機能がありますので、これを使って課題を解決してみます。 機能概要 今回利用するのは Integrating Cato Events with AWS S3 に記載されている機能です。 この機能は、ユーザ自身で Amazon Web Services (AWS) の S3 Bucket をあらかじめ用意し、Cato に対して適切な権限を与えることで、あとは Cato が自動的にイベントログを S3 Bucket に出力し続けてくれるというものです。 ログの保管にかかる Amazon S3 の利用料金はユーザ側で負担する必要がありますが、ログの保管期間をコントロールできるようになりますし、任意のサービス・ソフトウェアを用いて分析できるようになるというメリットもあります。 イベントログの出力設定 イベントログを Amazon S3 に出力するための設定手順は Integrating Cato Events with AWS S3  に詳しく記載されていますので、その内容に従って設定を行いましょう。 AWS 環境の準備 まず、AWS 上では次のリソースを用意する必要があります。 S3 Bucket (イベントログが格納される場所) IAM ポリシー (S3 Bucket の操作権限の定義) IAM ロール (IAM ポリシーで定義した権限を Cato に付与する設定) S3 Bucket を作成するリージョンは任意に選択して良く、日本のユーザであれば東京または大阪リージョンを選択することが多いと思います。S3 上のログの分析を AWS 上で行うのであれば、費用の安い米国東部や米国西部リージョンを選択しても良いと思います。 CMA の設定 CMA の設定もドキュメントの手順に記載の通り、”Administration” – “API & Integrations” 画面の “Events Integration” タブで設定できます。 イベントログの出力先のフォルダ名や出力対象のイベントのフィルタ設定は、ひとまず空欄のままでも良いと思います。これについては後述の通り工夫の余地があります。 イベントログの出力結果の確認 ログ内容の確認 正しく設定ができていれば、数分後から Amazon S3 にイベントログが続々と出力されます。 また、S3 Select を用いればイベントログのファイルの中身を簡易的に確認できます。 S3 Select の入力設定では次のように指定してください。 形式 : JSON JSONコンテンツタイプ : 行 圧縮 : GZIP 上図では JSON 形式で全てのフィールドを表示していますが、特定のフィールドのみを CSV 形式で表示することもできます。 わかったこと 弊社の検証用の Cato アカウントで試した結果ですが、この機能について次のことがわかりました。 1分間に1,2回の頻度でイベントログのファイルが S3 Bucket に作成される ドキュメントでは60秒ごとまたはデータファイルが10MBを超えたらアップロードすると書かれているが、実際の頻度はそれより多い ファイルのストレージクラスは Standard ログファイルは GZIP 圧縮されている ログファイルの中身は、1つのイベントを1つのJSONとして表し、1行ごとに1つのJSONが記載されたテキストデータ {"event_count":1,"internalId":"xxxxxxxxxx","event_type":"Security","event_sub_type":"Internet Firewall","time":1691628724649,...その他フィールド} {"event_count":1,"internalId":"yyyyyyyyyy","event_type":"Security","event_sub_type":"Internet Firewall","time":1691628724649,...その他フィールド} {"event_count":1,"internalId":"zzzzzzzzzz","event_type":"Security","event_sub_type":"Internet Firewall","time":1691628724649,...その他フィールド} ... ファイル名は “${UNIX秒}-${UUID}.log.gz” という形式 例 : 1691628848-9170c8f4-3088-4ee8-ba7c-a5abcb3e4613.log.gz UNIX秒の部分はそのファイルが生成された時刻で、S3 Bucket にアップロードされた時刻とほぼ一致する イベントが発生してから2,3分程度遅れで S3 Bucket にアップロードされる 実際にどの程度の時間遅れるかは仕様として記載されていないため、もっと遅れる可能性もある 複数のイベントが1つのイベントログ (event_count が1よりも大きな値) として記録されることもある CMA 上でこの機能を有効にしている期間のイベントのみ出力される この機能を設定する前や、無効にしている間のイベントのログは出力されない また、イベント数の少ない検証用アカウントで試したため精度は低いですが、設定してから2週間ほど経過したあと、実際に出力されたログのデータ量は次のようになっていました。 イベント行数 : 61,010 件 ファイル数 : 28,415 個 GZIP 圧縮済のファイルサイズの合計 : 16.23 MB GZIP 展開後のファイルサイズの合計 : 69.23 MB なお、1つのファイルに記録されているイベントが少ないため GZIP の圧縮効率が低くなっておりますが、参考までに全イベントを1つのファイルにまとめて GZIP 圧縮すると 3.42 MB にまで減りました。 ログ分析における課題 ログを長期に保管しなければならないという課題をクリアできると、次はログを分析する必要が出てくるときに備えて目的のログを抽出する方法を考えないといけません。 ログファイルの形式は明確になっていますので、ログファイルを手元にダウンロードし、全ファイルを読み込んで目的のログを抽出するプログラムを書くという方法が挙げられます。しかし、ファイル数は比較的多く、全体のファイルサイズも大きくなりますので、ログのダウンロードやプログラムの実行部分で相当の時間がかかるものと思います。 別の方法として、Amazon Athena を利用して分析するという方法が挙げられます。Athena を利用すれば、ログを手元にダウンロードすることなく SQL とほぼ同じクエリを用いてログを分析できますし、分散処理によってクエリの実行時間の短縮も図られます。 Amazon Athena とは - Amazon Athena 標準 SQL を使用して、Amazon S3 に保存されているリレーショナルおよび非リレーショナルデータに対してアドホッククエリを実行し、数秒で結果を取得します。 docs.aws.amazon.com サービス別資料 | AWS クラウドサービス活用資料集 アマゾン ウェブ サービス (AWS) は安全なクラウドサービスプラットフォームで、ビジネスのスケールと成長をサポートする処理能力、データベースストレージ、およびその他多種多様な機能を提供します。それらを活用するために役立つ日本語資料、動画コンテンツを多数ご提供しております。 aws.amazon.com 稀にしかログの抽出を行わないのであればあまり気にしなくてもよいのですが、Athena でログを頻繁に分析して活用しようとすると次のような新たな課題も出てきます。 全期間の全てのファイルが S3 Bucket の1つのフォルダの下に保存されるため、クエリを実行するたびに全てのデータが読み込まれて時間と費用がかかる 1つ1つのファイルサイズが小さいため、Athena 内部の分散処理のオーバーヘッドが大きく、実行に時間がかかる 1つ目の課題については、CMA でイベントログの出力先のフォルダ名や出力対象のイベントのフィルタ設定を工夫することで、部分的に解決できます。例えば、イベントタイプごとに出力先のフォルダに変える、あるいは比較的ログの多いイベントサブタイプ (Internet Firewall や WAN Firewall など) だけ異なるフォルダにするといった工夫が考えられます。この場合、イベントタイプやイベントサブタイプが将来増える可能性を忘れずに考慮する必要もあります。 本格的に解決して効率よく分析できるようにするは、ログの分析でよく用いる検索キー (タイムスタンプ、イベントタイプ、イベントサブタイプ、サイト、ユーザIDなど) でパーティショニングしたり、複数のファイルを 128MB 以上 (Athena の推奨サイズ) にまとめたりするのが望ましいです。これについては AWS の利用に関する知識やログの分析ノウハウだけでは実現できず、多少なりともプログラムや分析システムの開発が必要になってくるため、分析の目的が明確になってからでも良いと思います。 まとめ 本記事では Cato クラウドのイベントログを Amazon S3 に自動的に出力する機能について検証し、課題について整理しました。 AWS を利用中のユーザ様であればすぐにでも利用できますので、まずはイベントログを保管するところから始めてみてはいかがでしょうか。そうしておけば、監査やセキュリティインシデント対応のために後から過去のログが必要になったとしても、ログを追跡できる状況を確保しておけます。 また、弊社が用意する AWS 環境でログを保管し、ユーザ様からの要求に応じてログを抽出してお渡しするといった対応ができるかもしれませんので、お気軽にご相談いただければと思います。

Catoクラウドをご紹介した際に、最初にご質問をいただく中の一つに、小規模拠点にはSocketを設置せず、SDPユーザ（※）だけで利用して良いか？という質問をいただきます。 (※)SDP･･･Software Defined Perimeter（ソフトウェア定義境界）はZTNAの別名です。従来型のリモートアクセスソリューションとは異なり、ゼロトラストの原則に則ったセキュアなリモートアクセスソリューションを意味します。Catoクラウドでのリモートアクセス、モバイルアクセスを意味します。 Socketを設置しない理由（メリット）はコスト です。 拠点（Site）は、PoP接続帯域（最小25M～最大5,000M）のSiteライセンス契約と、Socketの契約が必要となります。vSocketやIPsec接続の場合は契約は不要です。 SDPユーザの契約を想定している場合は、SiteライセンスとSDPユーザライセンスと二重で課金が発生しているように捉えられる場合があり、小規模拠点にはSocketを設置しない方針で検討されるお客様がいらっしゃいます。 そもそも、Catoクラウドでは、サーバやシステムが設置されている拠点は、ユーザからの拠点（Site）へのアクセスがあるため、Socket/vSocketの設置（またはIPsec接続）によるSite登録は必須となります。 システムが設置されていない拠点、つまり利用者（エンドユーザ）しかいない拠点については、Socketの設置は必須ではないため、コストの観点でSocketの設置を悩まれる場合があります。   Socketを設置しないデメリット それではユーザしかいない拠点を前提に、Socketを設置しないデメリット（5つ）を解説していきます。 本記事の内容は2023年8月28日時点のものです。各種機能が随時アップデートされておりますので、最新情報と異なる可能性があります。 1) QoSによる帯域制限が行えない これが一番大きなデメリットになります。 拠点にインターネット回線があり、拠点内のユーザがインターネット回線を共有利用する場合の帯域制御の課題です。 CatoクラウドのQoS（Quality of Service）は、Bandwidth ManagementとNetwork Rulesでの設定となり、トラフィック優先度（Priority：2～254）、帯域幅制限（常に制限する、混雑時のみ制限する等）にて制御を行います。 多くのお客様では、Web会議（Teams、Zoom）は最も高い優先度とし、その次の優先度はお客様により異なりますが、基幹系システム → メールやスケジューラ（Microsoft365、Google Workspace）→ オンラインストレージ（Dropbox、Box、OneDrive、Google Drive）やWindowsファイル共有（SMB）を設定され、最も優先度が低いのは、Windowsアップデート（Windows Update）とされている場合が多いです。 Socketが設置されていれば、50MbpsのSiteライセンス契約であれば50Mbpsを上限として、それ以上の帯域要求があった場合は、QoS設定に基づき、優先度の低い通信から順次破棄（Discard）が行われます。 Socketが設置されていない場合は、このQoS機能がないため、Windowsアップデートが大量トラフィックを専有すると、ネットワークの輻輳や遅延が発生し、Web会議ができない、システムが利用できない等が発生する可能性があります。 また、Socketが設置されていないため、拠点で流れている通信が、Windowsアップデートなのか？誰が何のトラフィックを流しているのか？などは分かりません。 Socketが設置されていれば、リアルタイムで見るだけはなく、過去に遡って確認することも可能となります。 2) ユーザのアクセス元による制御が行えない Catoクラウドの”ユーザ”概念は、リモートアクセスの”SDPユーザ（SDP User）”と、拠点（Site）のSocket配下に居る”ユーザ（User）”とに区別されています。 Catoクライアントソフトには、Identity Agentの機能があり、Socket配下のPCにインストールを行うことで、ユーザを識別（User Awareness）することができます。Catoクライアントをインストールするだけであれば、SDPユーザライセンスは必要ありません。 また、Catoクライアントは、拠点（Site）のSocket配下に接続されると自動的にSocket配下であることを認識します。Socket配下では、クライアントは”Officeモード”となり、二重のVPNを行いません。 例えば、在宅や社外からのリモートアクセス時には、人事システムにはアクセスをさせないようにして、本社・事業所などの拠点に居る場合には、人事システムへのアクセスを可能とする場合は、”SDPユーザ”はブロック（Block）、”ユーザ”を許可（Allow）にて制御を行うことができます。 つまり、Socketを設置しない場合は、拠点の配下でも（Socket配下ではないので）”SDPユーザ”となりますので、”ユーザ”と区別したより厳格な制御は行えないことになります。 3) 個別設定により運用が煩雑化する 運用管理上は、これが一番問題になります。 拠点にSocketを配置した場合は、拠点のセグメントは、Catoクラウドへ自動登録（または手動登録）で認識が行われます。 拠点内で、Catoクライアント接続時は、同一LANセグメントであれば特段何の設定も必要なくアクセス可能ですが、同じ拠点内でも異なるセグメントとの通信については、すべてCatoクラウド（PoP）経由での通信を行うこととなります（SocketのLAN Firewall機能利用を除く） 拠点にSocketを設置しない場合ですが、拠点内のプリンタやファイルサーバ（NAS）等が別のセグメントに存在する場合に、Catoクライアントが直接通信を行うためには、Split Tunnel(※)機能を利用する必要があります。 (※)Split Tunnel･･･SDPユーザでCato PoP経由を除外する機能 Split Tunnelは、アカウント全体設定が可能ですが、この場合は、各拠点毎の設定となりますので、Catoクライアント端末側の設定、またはSDPユーザ毎で設定行う必要がありますので、運用管理が煩雑になります。 また、Always-OnやLAN Blockingなどのクライアント制御機能も同様です。 企業のITガバナンスとして、Catoクライアントの常時起動（Always-On/Never-Off）や、デバイス証明書認証（Device Authentication(※)）、デバイスポスチャ（Device Posture(※)）を利用されるお客様が殆どです。 (※)Device Authentication･･･端末証明書による接続制御 (※)Device Posture･･･端末の状態チェックによる接続制御（ウィルス対策/Firewall/HDD暗号化等をチェック） Always-Onを利用している場合、クライアント接続時のID認証～Device Authentication～Device Posture等の一連のセキュリティチェックで何かしらの失敗（エラー）が発生し、さらにLAN Blocking機能を利用している場合は、対象デバイスは、Catoクラウドに接続できず、拠点のローカルセグメントにも接続ができなくなります。 LAN Blockingを例に挙げていますが、前述の通り、Catoクライアントは、拠点（Site）のSocket配下ではOfficeモードとなる機能がありますが、Officeモード時はLAN Blockingは無効化されます。Socketを設置しない場合は、LAN Blockingをアカウント全体設定を実施し、SDPユーザ毎で解除する設定を行う必要になるため、同じように運用管理が煩雑になります。 そのため、Socketを設置しない場合、運用上の理由でこれらの制御機能の一部を採用されない場合があります。 4) Socketの機能が利用できない 当たり前ですが、Socketを設置しないので、Socketの機能が一切利用できません。 Socketには、DHCP、MACアドレス認証（MAC Authentication）等の様々な機能があります。 特に「Socket Web UI」というユーザインタフェースがあり、拠点に設置いたSocketの各種状況（Status）確認、各種設定（Network Setting/Cloud Connection Setting）、各種ツール（Tools）、トラフィックキャプチャ（Traffic Capture）などの機能があります。 各種ツール（Tools）については、SocketからPing、Tracerouteを始め、Speedtest、iPerf等を実施することができ、拠点内での通信トラブルが発生した場合の原因究明に非常に便利な機能です。 また、Scoketには、LAN Firewallの機能もあり、拠点内の異なるVLAN間のトラフィックのローカルでのブロック（Block locally）、許可（Allow locally）制御を行うことができます。不要なトラフィックをCato PoP（Socketがない場合はインターネット）へ流すことが減りますが、こちらもSocketを設置しない場合には利用できません。 5) 既存NW機器の保守運用が残る 最後は、Catoクラウドとは直接の関係はないのことになりますが、Socketは、メンテナンスフリーで、ファームウェアへのパッチ適用やアップグレードはクラウド側ですべて制御を行い、自動適用されます（メンテナンス時間の設定は可能です） 拠点にSocketを設置しない場合には、ルータやFirewall（UTM）など何らかの機器が必要となりますが、その機器の保守運用が残ることになります。 機器の保守切れを含むライフサイクル対応はもちろん、セキュリティホールや脆弱性などからセキュリティインシデントにつながることが多いため、ゼロトラスト、およびZTNA（Zero Trust Network Access）の概念においては、常に最新のファームウェアにアップグレードされるSocketの設置を推奨しています。   まとめ 今回は、Socketを設置しない場合の主な留意点・デメリット5つを解説しました。Catoクラウド独自用語を多用したため、ご不明点やご質問事項があれば、当社まで遠慮なくお問い合わせください。 結論としては、Socketなし（SDPユーザユーザのみ）は、 拠点のユーザが数名（5～10名？）程度 拠点内のローカルLANセグメントが一つ（プリンタ・NASも同一セグメント） インターネット接続はキャリアのホームゲートウェイのみ などの条件であれば大きな問題はないかと思いますが、全拠点の一元管理（ポリシー管理およびログ管理を含む）や、運用管理の煩雑さ、全体の運用負荷を考慮すると、SCSKでは、Socketあり、Socket設置を推奨しています。 また、今回の解説は、Socket/vSocketとIPsec接続との比較（メリット/デメリット）で同様の部分があります。 Socket/vSocketとIPsec接続の違いについては、PoP IP（IP Allocation）が別途必要であることや、PoP障害時に切り替わりが行われないなどがありますので、SSE360（ライセンス）を含めて別途記事にしようと考えています。 最後に、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（通称 S4）」を定期的に開催しており、次回は2023年10月に開催する予定です（2023年8月時点） それ以外にも、Catoクラウドのお客様導入事例の制作、FAQサイト運営を行っております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp このTechHarmony（技術ブログ）で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。

どうも、Catoクラウドを担当している佐々木です。 Catoクラウドで、Catoクライアントソフトの常時起動設定、いわゆる「Always-On」に関する問い合わせをよくいただきます。 この記事では、「Always-On」の設定方法と動作について簡単にご紹介します。 ※画⾯は2023年8⽉時点のものです。機能アップデート等で変わる場合がありますので、あらかじめご了承ください。 Always-Onとは SDP ユーザーのインターネットセキュリティを強化するための機能です。 Catoのセキュリティ機能として多くのユーザーで利用されています。   「Always-On」を使用すると、CatoクライアントのON/OFFをユーザー側で制御することができなくなり、 SDPユーザーからのトラフィックが常に「Catoクラウド」を通過するようにできます。 ※ユーザーがこっそりCatoをOFFして、セキュリティポリシーで禁止していることをやっちゃう、を予防できます。   Always-On設定方法 「Always-On」の設定方法は簡単です。 CMAで「Always-On」を利用したいユーザーを定義するだけです。   1.CMA上の設定画面選択 CMAにログインし、 「Access」 ＞ 「Always-On Policy」 を選択します。 右端の 「New」 をクリックすると、設定ウィンドウが表示されます。 2.パラメータ設定 以下の画面にて各設定項目を入力ください。 Name ：任意のルール名を入力 Rule Order ：「Always-On」ルールの設定順番を入力 ※末尾のConnected（動作設定）が「On-Demand」の設定がない限り、デフォルト設定で問題ありません。   「Alaways-On」を利用するユーザーの設定です。プルダウンから以下を選択します。 Any ：すべてのユーザーで「Alaways-On」を利用する場合に選択　※デフォルト設定 SDP User ：「Alaways-On」を利用したいユーザーを選択 User Group ：「Alaways-On」を利用したいユーザーグループを選択　※事前にUser Groupを定義する必要があります。   「Alaways-On」を利用する端末を限定する設定です。 同じユーザーでもWindowsPCでは有効にするが、iPhoneでは無効にするといったことが可能です。 プルダウンから以下を選択します。 Any ：すべての端末で「Alaways-On」を利用する場合に選択　※デフォルト設定 Operating System ：「Alaways-On」を利用する端末を限定する場合に選択（WINDOWS/macOS/IOS/Android） ※OS以外に端末を限定する方法はありません。   「Always-On」の動作設定です。プルダウンから以下を選択します。 Always-On ：「Alaways-On」を 利用する 場合に選択 On-Demand ：「Alaways-On」を 利用しない 場合に選択 On-Demandは、特定のユーザー以外は全員「Alaways-On」を有効にする、といった場合などに利用します。 例）Rule1：「Alaways-On」を利用しないユーザーを「On-Demand」で設定する Rule2：ユーザーを「Any」にし、「Alaways-On」で設定する   最後に「Apply」と「Save」をクリックすれば設定完了です。   設定イメージ   Always-On動作確認 「Alaways-On」が有効な場合、ユーザー自身でCatoへの接続解除ができなくなります。 以下のようにCatoクライアントで「Alaways-On is enabled」と表示されます。 真ん中の緑色のボタンをクリックしても反応しなくなります。   一時切断してみた 一時的にクライアントを切断したい場合、以下の方法で切断可能です。 CMAにログインし、 「Access」 ＞ 「Always-On Policy」 を選択します。 「Setting」 タブを選択し、 「Show bypass code」 もしく 「Show QR code for authentication app」 をクリックします。 Show bypass code ：切断用のワンタイムパスワードが表示されます。 Show QR code for authentication app ：切断用のQRコードが表示されます。   上記パスコードをCatoクライアントに入力すれば一時切断可能です。 入力方法は以下の通りです。 Windows ：PCのタスクトレイからCatoクライアントを右クリックし 「Temporary Bypass」 を選択。 mac ：PCのタスクトレイからCatoクライアントを右クリックし 「Temporary Bypass」 を選択。 iOS ：クライアントのクライアント ホーム画面で 「Bypass Always-On」 を選択。 Android ：クライアントのサイド メニューから 「Temporary Bypass」 を選択。   例：Windowsの場合 タスクトレイから 「Temporary Bypass」 を選択します。   ワンタイムパスワードの入力画面が表示されます。入力ください。     切断されるとクライアントが以下のようになります。   なお、 一時切断は最大15分間 です。   クライアント認証に失敗してみた 「Alaways-On」が有効の状態でクライアント認証に失敗すると、 インターネットアクセスがすべてブロック されます。 今回は「Device Posture」機能を利用して、意図的にクライアント認証を失敗させ、どのような動作になるか確認しました。   検証条件 「Device Posture」で適当なセキュリティソフトを利用中の端末じゃないとCatoに接続できないよう設定 上記セキュリティソフトを未利用の端末からCatoに接続 クライアントは「Windows（Ver：5.7.20）」 ※「Device Posture」は「Client Connectivity Policy」でデバイスの要件を定義するルールを作成し動作させます。 ※今回のテーマは「Always-On」のため、設定方法などは別の機会に記事にします。   検証結果 認証に失敗すると、クライアントが以下のような状態になります。   そして、インターネットにはアクセスできなくなりました。   LAN内のローカル環境にはアクセスできました。   「Alaways-On」で認証に失敗したユーザーは、インターネットに通信できなくなるが、LANにはアクセスできる   ちなみに、 タスクマネジャーからCatoに関するタスクをすべて終了すると、インターネット向けの通信が復活しました。。 これをやられたくない方は、Windwos機能でタスクマネージャーの起動を禁止するなどした方がよいかもしれません。 ※もちろん、 Catoへの接続はNGなので社内へのアクセスできません！   ついでにLAN Blockingも試してみた 先ほどの検証では、インターネットへの通信はブロックされましたが、LANにアクセスできていました。 「LAN Blocking」を利用すると、LANへのアクセスもできなくなります。   LAN Blockingの設定方法 ▼アカウント全体に設定する場合 CMAにログインし、 「Access」 ＞ 「Client Access」 を選択します。 「Split Tunnel」 タブを選択し、 「LAN Blocking」 をチェックします。 アカウント全体に設定する場合、SDPユーザー全員がLANに接続できなくなるので注意ください   ▼特定のユーザーのみに設定する場合 CMAにログインし、 「Access」 ＞ 「Users」 から対象のユーザーを選択します。 「User Configuration」 ＞ 「Split Tunnel」 を選択し、 「 Override account settings」 と 「LAN Blocking」 をチェックします。   検証条件 「Device Posture」で適当なセキュリティソフトを利用中の端末じゃないとCatoに接続できないよう設定 上記セキュリティソフトを未利用の端末からCatoに接続 クライアントは「Windows（Ver：5.7.20）」 「LAN Blocking」 を有効   検証結果 認証に失敗して、インターネットにアクセスできないまでは先ほどと同じです。 そのうえで、LAN内のローカル環境にもアクセスできなくなりました！   「Alaways-On」と「LAN Blocking」を組み合わせると、認証に失敗したユーザーはどこにも通信できなくなる   オプション機能 「Alaways-On」には以下のオプション機能があります。   Connect on Boot 端末ブート時（起動時）にクライアントも一緒に起動してくれます。 この設定はSDPユーザー単位で指定できず、全員有効か、全員無効か、の2択になります。   Start minimized Catoクライアント起動時にクライアントが最小化します。 この設定はSDPユーザー単位で指定できず、全員有効か、全員無効か、の2択になります。   設定画面 どちらの機能も同じ場所で設定可能です。 CMAにログインし、 「Access」 ＞ 「Always-On Policy」 を選択します。 「Setting」 タブを選択し、下の方にある各機能にチェックを入れて「Save」すれば有効化されます。   まとめ 「Always-On」 は設定も簡単で、セキュリティ強化に有効な機能です。 特に 「Device Posture」「LAN Blocking」 と組み合わせることで、特定のセキュリティソフトがインストールされていない端末は CatoにもインターネットにもLANにも接続させないようにする、といった強めのセキュリティ対策も可能になります！   「Always-On」を使用すると、CatoクライアントのON/OFFをユーザーが制御できなくなる CMA上の「Access」＞「Always-On Policy」で一通り設定可能 「Always-On」利用中も、一時的に無効にすることが可能 「Always-On」有効時に、認証に失敗するとインターネットに接続できなくなる（リカバリー可能）   「Always-On」について弊社の 「Catoに関するFAQサイト」 にも多数情報ございますのでご参考にください。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp 最後に、SCSKではPoCから導入、運用まで幅広くCatoに関する支援を行っております。 本番構成への移行を見据えたPoC構成や、PoCでつまづきやすい点のサポートなど、豊富な導入実績を基にご支援いたします。 ぜひお声がけください！

Catoクラウドの Cross Connect について解説します。 世界初のSASEプラットフォーム Catoクラウドとは？ Cato Networks社 の Catoクラウド（ケイトクラウド）についてご紹介します。 Catoクラウドは世界初のSASEのサービスであり、強固なセキュリティとシンプルな運用管理を実現します。 blog.usize-tech.com 2023.08.15 「世界初のSASEプラットフォーム Catoクラウドとは？」で拠点（Site）がCatoクラウドにへ接続する方法としては、 物理エッジデバイス Scoket （X1500、X1600、X1700） 仮想エッジデバイス vSocket （AWS、Azure、VMware）※GCPは対応予定 既存機器 IPsec の3つと解説しましたが、もうひとつ、4つ目の拠点（Site）の接続方法「Cross Connect」について解説します。 Cross Connect とは、Catoクラウドへの新たな接続方式となり、以下クラウドとの専用線接続となります。 AWS Direct Connect Azure Express Route Google Cloud Interconnect OCI Fast Connect サービスとしては、Catoとは、別のサービスプロバイダー（Cross Connect Partner Provider）を介した提供となり、CatoのすべてのPoPで提供が可能ではなく、提供可能なPoPが限定されています。 日本国内については、東京、大阪いずれのPoPにおいてもサービス利用が可能となっています。 東京、大阪ともに、 エクイニクス社の「Equinix Fabric（旧称：Equinix Cloud Exchange Fabric）」 を利用することになります。 海外PoPでは、デジタル・リアルティ（Digital Realty）等の提供もあります。 つまり、実際には専用回線での接続ではなく、日本の場合はエクイニクス社のデータセンター内の構内LAN接続となります。 また、物理的な工事が発生するので、サービスの依頼から提供までにリードタイムが掛かります。   Cross Connectを採用する理由・メリット 完全なプライベート接続（インターネット（IX）を経由しない） vSocket、IPsecより高パフォーマンス、低レイテンシーが必要な場合 固定課金、広帯域でのコスト最適化 現在 vSocket が提供されていないクラウド（GCP、OCI）との接続 注意点としては、 最小契約帯域は501Mbps以上 となります。   Socket/vSocket、IPsec、Cross Connectとの比較 拠点（Site）接続の比較表   Cross Connectの冗長構成（Cross-location HA） Cross Connect が提供可能な複数PoPを利用したHA構成（Cross-location HA）も可能です。 まとめ CatoクラウドのSocket/vSocket、IPsec以外の拠点接続方法である Cross Connect についてご紹介しました。 既存のレガシーネットワーク・セキュリティから、SASE、Catoクラウドへ移行されたお客様の多くは、サーバ・ストレージについても、クラウドへの移行を進められている（または、完了されている）場合が殆どで、クラウドとの接続帯域はどんどん増えていく傾向にあります。 クラウドとの接続に、広帯域（500Mbps以上）、低レイテンシーが求められる、あるいはデータ転送量（いわゆる、エグレス料金）の抑制、従量→固定課金が必要となる場合には、この Cross Connect が選択肢の一つになるかと考えています。 最後に、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（S4）」を定期的に開催しており、それ以外には、Catoクラウドのお客様導入事例の制作、FAQサイト運営を行っております。 TechHarmony（技術ブログ）で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。

お疲れ様です。SCSK三上です。 先日参加した Amazon QuickSight Roadshowイベント でご紹介いただいた、AWSを利用する方のコミュニティ、JAWS-UGのランチ会に初めて参加してみました！内容と感想共有します。 8/4開催！Amazon QuickSight Roadshowイベントレポート オンサイト開催のAmazon QuickSight Roadshowイベントに参加したのでレポートアップします！ やはりオンサイトのイベントは他社の方との交流含めてテンションが上がりますね～ オフィスはもちろん、ドリンクやお菓子のサービス、お弁当まで大変豪華でした！ blog.usize-tech.com 2023.08.15 JAWS-UGとは？ JAWS-UGとは、 AWS (Amazon Web Services) が提供するクラウドコンピューティングを利用する人々の集まり（コミュニティ） です。 一人ではできない学びや交流を目的としてボランティアによる勉強会の開催や交流イベントなどを行なっています。 私たちは日本全国に「支部」の形でグループを持ち、それぞれのテーマに基づいて活動を行なっています。 このコミュニティーは、非営利目的で活動しています。 JAWS-UGとは JAWS-UGとは、AWS (Amazon Web Services) が提供するクラウドコンピューティングを利用する人々の集まり（コミュニティ）です。 jaws-ug.jp   JAWS-UG東京 ランチタイムLT会#2 項目 内容 開催日 2023年8月22日 12:00~13:00 開催場所 Youtube Live イベントHP JAWS-UG東京 ランチタイムLT会 #2 – connpass それでは、今回登壇いただいた4つのLTを簡単にご紹介いたします！   LT① インフラ未経験でAWSを触って感じたこと しろみさん 居酒屋で働いたのちに、半年間学校に通いインフラ技術者になったとのことで興味深々でした！ 感動したこと・大変だと感じたこと共通の「組み合わせ方が自由」というのがとても共感できました。 アップデートが早いからこそ、常に情報を追いかけてベストプラクティスを見つけていかなければならないですね。 AWSの使っていく中での感動したこと 組み合わせ方が自由 要件に合わせてサービスを組み合わせて柔軟に対応ができる ユースケースごとにサーバレスパターンが存在する 手軽に作成ができる 検証したい環境を手軽に構築できる 試したいサービスがあったときに手軽に利用することができる。まるで試食コーナー！ あらかじめ確認しないとコストがかかることも！！ 新サービスのリリース、アップデートが早い！ AWSを触れていく中で大変だと感じたこと インフラ・開発の基礎知識が必要 基礎知識があると理解が捗ると感じた 例 OSI参照モデル、TCP/IP、CDN、DNSの仕組み CPU、メモリ、ストレージ SQLインジェクション、CSRF、XSS 組み合わせ方が自由 多数あるサービス、頻繁に行われるアップデート どの組み合わせにしたらいいのか？今の組み合わせ方が正しいのか？ 選択肢が多い、自由であるほど検討するときに悩む。 まとめ インフラの基本的知識があると捗る！どんな選択肢が良いのか？ なぜその組み合わせなのか？考えることは必要だが、まずはスモールスタートで始めることが大切！   LT② AWS Community Builder? 何それオイシイの？ 3年目CBが語るLessons learned from CB coosukeさん AWS Community Builderという言葉、初めて聞きました！その他にも3つほど、グローバルコミュニティ支援プログラムがあるんですね。資格だけでなくモチベーションや自信につながるプログラムだと思いました！ AWSのグローバルコミュニティ支援プログラム AWS Community Builder AWSが展開しているグローバルコミュニティ支援プログラム すべてで4つ！その中の一つが、AWS Community Builder。 AWS Community Builder 知識の共有や技術コミュニティとの連携に熱心なAWS技術愛好家や新興のソートリーダーに、技術リソース、教育、ネットワーキングの機会を提供するプログラム 半期に1度の自薦 AWS コミュニティビルダー｜ワールドワイドのクラウドコミュニティ｜AWS デベロッパーセンター AWS コミュニティビルダーズプログラムは、知識の共有や技術コミュニティとの連携に熱心な AWS 愛好家や新興のソートリーダーに、技術リソース、メンターシップ、ネットワーキングの機会を提供するプログラムです。 aws.amazon.com   何がオイシイの？ インプットの場が増える 人脈がスケールアウト、スケールアップ プロダクトリームによるセッション AWSサービスのセミナーが毎週のように開催 サーバレスサービスのロードマップ セキュリティセミナー β版へのアーリーアクセス AWSクレジットや割引などのサポート アウトプットの場が増える テクニカルブログ APJ Open Mic APJのCBがあるまって月一で開催されるLT大会 Swag 更新のたびに、Swagがもらえる！   LT③ 競争的研究費でクラウド利用を読み解こう 小寺加奈子さん 研究における、クラウドの使いやすさについてご説明いただきました！ 競争的研究費という言葉も初めて聞いたのでとても勉強になりました。研究にクラウドを利用することがしやすくなったとのことで、更にクラウド利用が進む気がしました🎵 競争的研究費とは？ 大学、研究開発法人、民間企業等において府省等の公募により競争的に獲得される経費のうち、研究に係るもの。従来、競争的資金として整理されてきたものを含む。 何が変わったの？ 今回変更になったのは、「競争的研究費における各種事務手続きに係る統一ルールについて」 ⇒ クラウド利用料が明確に記載！ つまり、競争的研究費を用いて、クラウド利用ができるようになった！実際の事例も！以下参照。 理化学研究所によるバーチャル富岳×クラウド　AWS社が語る生成系AI×教育　大学・研究室関係者向け無料フォーラム8月24日(木)東京、8月28日(月)大阪にて開催 ■基調講演：理化学研究所計算科学研究センター センター長　松岡 聡(東京) ■注目講演：「生成系 AI の課題と解決策-学術・研究機関ユースケースからのAWSの考察」アマゾン ウェブ サービス ジャ… www.atpress.ne.jp   LT④ BLEA for FSIワークショップから学ぶ金融レベルのガバナンス 石倉幸さん（シンプレクス株式会社） お恥ずかしながらBLEAという言葉も初めて来ました…！金融のお客様に向けてお話する際は、キーワードになると思いました！ BLEAとは？ B ase l ine E nvironment on A WS の略 ⇒ AWSセキュリティのベストプラクティスを実装した環境を迅速に実現可能！ B ase l ine E nvironment on A WS for F inancial S ervices I nstitute の略 ⇒ BLEAに、FISC準拠の観点から不足分を追加 BLEA for FSIでできること クラウド上で構築するならやるべきこと 金融システムならやるべきこと/よくあること ⇒ これをBLEA for FSIがカバー！ BLEAとBLEA for FSIを比較 基本のつくり（共通） ガバンスベースライン セキュリティ面、システム全体統一してガバナンスをきかせるための実装 ワークロード よくある実装のサンプルコード ガバンスベースライン 項目 BLEA BLEA for FSI Cloud Trail S3データイベント記録 なし あり SSMセッションマネージャーログのS3出力 なし あり 大阪リージョンへのガバナンスベースデプロイ なし あり IAM Identity CenterのMFA設定 なし あり ワークロード BLEA BLEA for FSI ECSパターン EC2パターン サーバレスパターン ⇒ アーキテクチャカット 勘定系 顧客チャネル オープンAPI マーケットデータ データ分析プラットフォーム ⇒ 業務カット その他ドキュメント系（ BLEA for FSIのみにあるもの ） Cloud Towerコントロールで有効にすべきもの 動作：プロアクティブ、ガイダンス：必須を除くコントール（全205種）のうち、FISC観点で導入が推奨される70種を抽出 FISC実務基準対策一覧 各ワークロードのどの実装が、どの実務基準に即しているかのまとめ BLEAの個人的な価値 お客さんへの説明が楽になる 金融機関では特に、「国が認めている」「AWSが認めている」というのは強い！   JAWS-UG東京 ランチタイムLT会 今後の予定 次回からは、 毎月第四火曜日開催とのことです！　 次回、 9/26(火)12:00~ ぜひ皆さんも参加してみてください！

こんにちは、SCSK株式会社の中野です。 前回は「 AWSをZabbixで監視してみた 」の投稿でAWSの監視を試してみましたが、今回はAzureをZabbixで監視してみたいと思います。 皆様はAzure上に構築したシステムを監視するために、どの監視ツールを利用していますでしょうか。 Azureが提供している監視サービス「Azure Monitor」を利用している方も多いと思います。 本記事では「Azure Monitor」ではなく、オープンソースの統合監視ツールである 「Zabbix」 を用いて、Azureのサービスを監視してみます。 Zabbixとは Zabbixは、エンタープライズ対応のオープンソース統合監視ツールです。 サービスやそれを支える ITシステム(サーバ、ネットワーク機器等)の状態を把握し、障害の予兆やサービスへ影響を及ぼす事象が発生した際に、システム管理者やオペレータに通知を行うオープンソースの統合監視ソリューションです。 数万デバイス規模のエンタープライズ環境でも多数の稼動実績を誇っています。 Zabbixの詳細情報については、下記リンクよりご確認ください。 Zabbixとは｜SCSK Plus サポート for Zabbix 世界で最も人気のあるオープンソース統合監視ツール「Zabbix」 www.scsk.jp Zabbixには、Azureの各種サービスを監視するための設定をまとめた9つのテンプレートが用意されています。 （2023年8月時点） ・Azure by HTTP ・Azure Cosmos DB for MongoDB by HTTP ・Azure Microsoft SQL Database by HTTP ・Azure Microsoft SQL Serverless Database by HTTP ・Azure MySQL Flexible Server by HTTP ・Azure MySQL Single Server by HTTP ・Azure PostgreSQL Flexible Server by HTTP ・Azure PostgreSQL Single Server by HTTP ・Azure Virtual Machine by HTTP ※ Azureテンプレートを利用するためには、Zabbix 6.0.13 以上のバージョンが必要です。 今回は「 Azure Virtual Machine by HTTP 」テンプレートを利用してAzureのサービス（Virtual Machines）を監視していきたいと思います。 監視してみた（事前準備編） ZabbixでVirtual Machinesを監視するために、Azure側で以下２つの対応が必要になります。 ・Azureサブスクリプションに対してのAzureADアプリケーション（サービスプリンシパル）を作成 Azure CLIでの作成例） az ad sp create-for-rbac --name zabbix --role reader --scope /subscriptions/<subscription_id> ・監視対象リソースに対しての読み取り権限（reader）を付与 Azure側の作業は以上になります。 監視してみた（設定編） それではZabbixで監視するために、対象ホストをZabbixへ登録していきます。 Zabbix登録画面では、ホスト名やＩＰアドレスを設定して、テンプレートは「Azure Virtual Machine by HTTP」を選択します。 次に以下５つのホストマクロに対して、変数を設定します。 ・{$AZURE.APP.ID}　：　アプリケーションID ・{$AZURE.PASSWORD}　：　パスワード ・{$AZURE.TENANT.ID}　：　テナントID ・{$AZURE.SUBSCRIPTION.ID}　：　Microsoft AzureサブスクリプションID ・{$AZURE.RESOURCE.ID}　：　Virtual MachinesのリソースID そのほか必須ではございませんが、必要に応じて以下３つのホストマクロも設定します。 ・{$AZURE.PROXY}　：　HTTPプロキシの値を設定（空の場合はプロキシ使用なし） ・{$AZURE.DATA.TIMEOUT}　：　APIのレスポンスタイムアウト値 ・{$AZURE.VM.CPU.UTIL.CRIT}　：　CPU使用率のしきい値 あとは「追加」または「更新」ボタンを押すだけで、Zabbixでの監視が開始されます。 データ取得まで数分待つと、以下の通りNWやディスク等の監視アイテムを取得することができました。 グラフも問題なく、作成されていることを確認できました。 最後に ZabbixでAzureを監視してみた結果、簡単に監視データを取得することができることが分かりました。 しかし、AWSを監視してみたときに出た結論と同様に「Azure Virtual Machine by HTTP」のテンプレートだけでは、インスタンスOS内部リソース・ログ監視は実施不可のため、Zabbixエージェントが導入できない場合以外はVirtual MachineにもZabbixエージェントを導入し、両方での監視を実施する必要がありそうだと感じました。 今回はVirtual Machineのみに絞って監視を試してみましたが、今後は別のリソースの監視もしたいと思います。 最後まで読んでいただき、ありがとうございました！！ AWSをZabbixで監視してみた オープンソースの統合監視ツールである「Zabbix」を用いて、AWSのサービス（EC2）を監視してみました。監視してみて感じたことや、監視手順をご紹介させていただきます。 blog.usize-tech.com 2023.05.29

Catoクラウドをご紹介する際に、まず最初にご質問をいただく中の一つに送信元IPアドレス・ソースIPアドレス・出口IPアドレス（以降、 Egress IP ）があります。 Catoクラウドからインターネットへアクセスする際のグローバルIPアドレスはどうなるのか？ Egress IP（送信元IPアドレス、ソースIPアドレス、出口IPアドレス）は固定できるのか？ 自社専用の固定IPアドレスの割り当てが可能なのか？ 割当可能なIPアドレスはいくつまで有るのか？ それ以上追加できるのか？（費用は？） などです。今回はCatoクラウドにおけるEgress IPについて解説します。 まず、Catoクラウド経由でインターネットへアクセスする場合は、Socket、SDPクライアント（モバイルユーザ）を問わず、接続されているPoPからランダムなグローバルIPアドレスが割り当てされます。 つまり、東京の第一PoP（Tokyo）へ接続されている場合は、Tokyo PoPが保有しているグローバルIPアドレスがランダムに割り当てられ、大阪の第一PoP（Osaka）へ接続されている場合は、Osaka PoPが保有しているグローバルIPアドレスがランダム割り当てられることになります。 このIPアドレス（Egress IP）はもちろん固定することができます。 他のアカウントは利用できないお客様アカウント専用のIPアドレスを確保することができます。 標準契約内には、3つのIPアドレスを確保（割当）できるライセンスが含まれており、4つ目以降は、追加契約（追加費用）が必要になります。 これまでの社内・社外の境界型防御を中心としたインターネットアクセスの場合は、社内Proxyサーバ経由で、1つのグローバルIPアドレスをEgress IPにされている場合が殆どになるかと思います。 Microsoft 365、Boxなどのクラウドサービス、その他のSaaSサービスや、特定Webサイトで、その1つのEgress IPを制限、またはアクセス申請をされていると思います。 Catoクラウドへ移行する場合は、Egress IPの変更が必要となります。 ただし、Catoクラウド以外に他のインターネット出口を設ける場合を除きます。   Egress IP設定について Egress IP設定手順は、以下となります。 専用IPアドレスを確保（ IP Allocation ） 1.で確保したIPアドレスの利用ポリシー設定（ Network Rules のNAT） Catoクラウドの設定は、管理ポータル、Cato Management Application（以下、CMA）で実施します。 IP Allocationは、CMA の[Network] > [IP Allocation]にて、自社専有のIPアドレスを確保します。 Catoクラウドでは、全世界 80以上あるPoPのいずれかを指定して、そのPoPのグローバルIPアドレス確保します。 日本のお客様の場合、アクセス先の多くは日本国内に存在すると思いますので、確保するPoPは以下の4つになります（2023年8月時点） 東京 第一PoP（Tokyo） 東京 第二PoP（Tokyo_DC2） 大阪 第一PoP（Osaka） 大阪 第二PoP（Osaka_DC2） すでに、日本国内5つ目の北海道 札幌PoP（Sapporo）の開設がアナウンスされています。 東京 第二PoP（Tokyo_DC2）と、大阪 第二PoP（Osaka_DC2）が、今年2023年に開設された新しいPoPとなり、第一PoPとは規模や回復力が大きく異なるため、 第二PoP、特に東京 第二PoP（Tokyo_DC2）での確保が推奨 されています。  This second PoP improved the Cato service scale and resiliency for sites in Japan, and for Tokyo in particular.  （この2番目のPoPは、日本、特に東京のサイトに対するCatoのサービス規模と回復力を向上させた）  　- Product Update – August 7th, 2023　より   次に、確保したIPアドレスをEgress IPとして設定するには、CMAの [Network] > [Networks Rules]にて、IP Allocationで確保したIPアドレスを何に利用するかの設定を行います。 [New]で新しいNetwork Rulesを作成します。 Internet Firewallや他のポリシー設定と同様になりますが、送信元（Source）、アプリケーション・カテゴリ（App/Category）、送信先（Destination）等を設定します。 Microsoft 365でEgress IP制限されている場合には、アプリケーションで、”Office365″や”One Drive”、”Teams”、”Sharepoint”等を 適宜選択し、ルーティング方法（Routing Method）のRoute/NATで”NAT”を選択します。NATを選択すると、先程IP Allocationで確保したIPアドレスを選ぶことができます。   Egress IPは、PoP単位で取得することになりますので、もし大規模障害で該当PoPが停止するような場合は、そのPoPで確保したEgress IPは利用できなくなります。 そのため、Catoクラウドでは、 Egress IPは 2つ（できれば3つ）以上を 設定することが推奨 となっております。 IP Allocationで2つ（標準契約は3 IPs）以上を確保し、2つ（できれば3つ）以上設定することを推奨しています。 また、Egress IP設定では、 アプリケーション・カテゴリを”Any”にしないことが推奨 となっております。 Egress IPで制限/許可されているアプリケーションやWebサイトのみの必要最低限の設定が推奨されています。 これまで社内Proxyサーバ経由のアクセスと同様に、アプリケーション・カテゴリは”Any”として社内からのインターネットアクセスは、すべてEgress IPにされたいお客様もございますが、本来Egress IPが不要な通信についても、Cato PoP間のバックボーンを経由するため、Catoでは推奨しておりません。   Catoクラウドで割り当てるグローバルIPアドレスについて 次に注意が必要なのは、これはCatoクラウドに限った話ではなく、他のSASEソリューションも同様ですが、Catoが日本のPoPで取得しているグローバルIPアドレスは、JPNIC（Japan Network Information Centre）ではなく、上位の APNIC（Asia Pacific Network Information Centre）から取得している ものとなることです。 ※そもそもJPNICは、APNICからIPアドレスの割り振りを受け、それをIPアドレス管理指定事業者に対して割り振っています。 JPNICでなく、APNICのアドレスとなることで問題になるのは、Webアクセスで不具合が発生することです。 Webブラウザアクセスで「403 Forbidden」「このページは動作しておりません」「アクセスしようとしたページは表示できませんでした」等が表示される、または、いつまで経ってもページが表示されずタイムアウトになる等があります。 この原因の一つとしては、アクセス先のWebサイトが日本からのアクセスのみに制限をしていることが考えられます。 アクセス制限方法は幾つか存在しますが、Webサーバや、Firewall（UTM）において、GEO設定や、JPNICのIPアドレスのみを許可している場合です。 この場合の回避策としては、以下の３つとなります。 CatoのEgress IP設定を実施した上で、該当サイト管理者へEgress IPでのアクセスを許可していただく（いわゆる正攻法） Socket設置拠点に別のインターネット回線（別インターネット出口）がある場合は、 Backhauling 設定をすることで、FQDNやドメイン毎に、別インターネット出口よりアクセスを迂回することができます 拠点（Socket）やSDPユーザ単位となりますが、Bypass設定、Split Tunnel設定することで、SocketやSDPユーザのグローバルIPアドレスでアクセスを行うことができます。ただし、Bypass/Split Tunnel設定は、FQDNやドメイン設定は行えずIPアドレスでの設定となります（2023年8月時点） まとめ 今回は、最もご質問が多いEgress IPについて解説を行いました。 SDPユーザのSplit Tunnel設定については、IPアドレスではなく、FQDNやドメインでの設定が可能になる計画がすでにあります。 将来的に、SocketのBypass設定もそうなる可能性がありますが、そうすると拠点でのローカルブレイクアウト（LBO）が可能となるため、Catoクラウドのアーキテクチャ（すべての通信をセキュリティ検査し、証跡を保管する）に相反することになるため、まだ実装されるかどうかは不明です。 最後に、“SASE”自体の知名度が低く、”Cato Networks”、”Catoクラウド”の知名度もまだまだ低いので、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（S4）」を定期的に開催しております。それ以外に、Catoクラウドのお客様導入事例の制作や、FAQサイト運営を行っております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp この度、TechHarmony（技術ブログ）を開始し、皆様のお役に立てて、さらにCatoクラウドの知名度UPの貢献できればと考えております。

Catoクラウドのサービスを利用していると、拠点（Site）のネットワークが遅い、アプリケーションのレスポンスが悪いなどのネットワーク接続の遅延問題が発生することがあります。 今回は、そのような時のCatoクラウドでのトラブルシュート手順について解説したいと思います。 ※本投稿に記載の手順はあくまで一例です。 概要 まず、ネットワーク接続遅延が発生した場合のトラブルシュート手順について表にまとめてみました。 各手順については、次項以降で詳しく説明していきます。 <トラブルシュート手順> Cato PoP障害確認 Network Analyticsの確認 Priority Analyticsの確認 Application Analyticsの確認 STEP1　Cato PoP障害確認 ネットワーク接続遅延発生時、まずは影響を受けている拠点（Site）やユーザーが接続しているPoPの障害情報を確認します。 確認方法 以下サイトからCato PoPの障害状況が確認できます。 ▼ PoP の障害 状況サイト https://status.catonetworks.com / 対応措置 確認の結果、対象PoPに障害が確認された場合、PoP障害により遅延が発生している可能性があることがわかります。 その場合は、以下に記載の対応措置手順に従い、接続するPoPを変更することで改善されるかを確認します。 想定原因：Cato PoP障害 →対応措置：影響を受けているサイトやユーザーが、優先して接続するPoPを手動で変更します。 ▼  対応措置手順 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site Configuration>General>Preferred PoP locationから「Primary Location」に接続したいPoPを選択します。 Saveより設定保存します。 設定反映後、自動的に設定したPoPへ接続を試みます。 なお、PoP変更時に通信断が発生する旨事前に認識が必要です。   STEP2　Network Analyticsの確 STEP1にてPoPの障害が確認されなかった場合は、Network Analyticsを活用してPoP接続状況や回線品質を確認します。 PoP接続状況確認 確認方法 以下の方法でPoPの接続状況を確認することができます。 ▼  確認手順 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのNetwork Analyticsの画面上部ステータスバーより接続PoPを確認します。 ここでは、表示された接続PoPがSocketの設置場所から遠方のPoPに接続していないか確認します。   対応措置 確認の結果、遠方のPoPに接続している場合、SocketとPoPの距離により遅延が発生している可能性があることがわかります。 その場合は、以下に記載の対応措置手順に従い、接続するPoPを固定することで改善されるかを確認します。 想定原因：遠方のCato PoPに接続している →対応措置： 影響を受けているサイトやユーザーが、優先して接続するPoPを手動で固定します。 ▼  対応措置手順 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site Configuration>General>Preferred PoP locationから「Primary Location」に接続したいPoPを選択します。 「Only connect to the Preferred PoP Locations」にチェックを入れると、設定したPoPのみに接続させることができます。 Saveより設定保存します。 設定反映後、自動的に設定したPoPへ接続を試みます。 なお、PoP変更時に通信断が発生する旨事前に認識が必要です。   「Last Mile Packet Loss」の確認 続いて、遅延の原因が回線側にある可能性も考えられるため、回線側も確認していきます。 確認方法 以下の方法で回線品質を確認することができます。 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのNetwork Analyticsの画面下部グラフよりLast Mile Packet Lossを確認します。 ここでは、遅延が発生していない日時と比較してロス率が増加していないか、またその状態が継続していないかを確認します。 対応措置 確認の結果、遅延が発生していない日時と比較してロス率が増加している場合（またはその状態が継続している場合）、インターネット回線で障害や輻輳が発生していることにより遅延が発生している可能性があることがわかります。 その場合は、インターネット回線提供元に状況を確認します。 想定原因：インターネット回線品質劣化 →対応措置：インターネット回線の提供元に状況を確認します。 　　　　　　（障害やメンテナンスがない場合でも、ISP網で輻輳が発生している可能性がございます。）   「 Max Throughput 」の確認 確認方法 以下の方法でスループットを確認することができます。 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのNetwork Analyticsの画面下部グラフよりMax Throughputを確認します。 ここでは、Catoの契約帯域、もしくはインターネット回線の契約帯域の限界近くまでトラフィックが発生していないかを確認します。   対応措置 確認の結果、Catoの契約帯域、もしくはインターネット回線の契約帯域の限界近くまでトラフィックが発生している場合、Catoの契約帯域が不足している可能性があることがわかります。 その場合は、QoSの設定やご契約帯域を見直すことで改善されるかを確認します。 QoS設定を見直す際はApplication Analyticsの活用が有効です。※STEP4参照 想定原因：Catoの契約帯域不足 →対応措置： ・ ・Application Analyticsを活用し、QoS設定の最適化（該当の通信の優先度や条件などを最適化）をします。 ・・ ※Application Analyticsの活用方法についてはSTEP4参照 ・ ・Catoとインターネット回線のご契約帯域を見直します。   「Discarded」の確認 確認方法 以下の方法でパケット破棄の有無を確認することができます。 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのNetwork Analyticsの画面下部グラフよりDiscardedを確認します。 ここでは、Discardedの発生有無を確認します。   対応措置 確認の結果、Discardedが発生している場合、QoSの設定でパケットが破棄されている可能性があることがわかります。 その場合は、QoSの設定を見直すことで改善されるかを確認します。 QoS設定を見直す際はPriority Analyzerの活用が有効です。※STEP3参照 想定原因：パケット破棄 →対応措置：Priority Analyzerを活用し、QoS設定の最適化（該当の通信の優先度や条件などを最適化）します。 ・ ※Priority Analyzerの活用方法についてはSTEP3参照   STEP3　Priority Analyzerの確認 STEP2「Discarded」の確認にて、 Discardedが発生していた 場合は、Priority Analyzerを活用し、どの優先順位のパケットが破棄されているか確認することで、QoS設定の見直しを行っていきます。 確認方法 以下の方法でQoSについてプライオリティ毎のステータスを確認することができます。 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのPriority Analyzerを選択します。   対応措置 確認結果より、QoS設定の見直しを行い、改善されるかを確認します。 想定原因：パケット破棄 →対応措置： QoS設定の最適化（該当の通信の優先度や条件などを最適化）をします。   STEP4　Application Analyticsの確認 手順2「Max Throughput」の確認にて、Catoの契約帯域の限界近く までトラフィックが発生している 場合は、Application Analyticsを活用し、利用率の高いトラフィックを特定することで、QoS設定やご契約帯域見直しを行っていきます。 確認方法 以下の方法でネットワークとアプリケーショントラフィックの利用状況を確認することができます。 Management Application (CMA)を開きます。 Network>Sitesより対象サイトを選択します。 Site MonitoringのApplication Analyticsの画面内「Top Application」より利用状況を確認します。   対応措置 ご利用状況の確認結果より、QoSの設定やご契約帯域の見直しを行い、改善されるかを確認します。 想定原因：Catoの契約帯域不足 →対応措置： ・ ・QoS設定の最適化（該当の通信の優先度や条件などを最適化）をします。 ・ ・Catoとインターネット回線のご契約帯域を見直します。   まとめ 本投稿では、ネットワーク接続遅延におけるトラブルシュート手順について説明いたしました。 トラブル発生時にお役に立てば幸いです。 なお、弊社の FAQ サイトでは 、よくあるご質問やCato クラウドのアップデート情報を公開しておりますので、是非ご参照ください！ よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp

Catoクラウドのすべてのログが一元的に確認できる、便利な「Events」ですが、慣れるまでは使い方が少し難しいです。 この記事では、Eventsのログの絞り込み方を簡単にご紹介します。 ※画面は2023年8月時点のものです。機能アップデート等で変わる場合がありますので、あらかじめご了承ください。 Events画面の概要 Cato Management Application(以下CMA)にログインし、Monitoring > Events を選択すると、以下の画面になります。 ログ表示期間の選択 右上のカレンダーのボタンにて、ログを表示する期間を指定できます。 Catoクラウドのログ量は多いため、確認したい日時を絞り込むことをお勧めします。 なお、日時は日本時間(JST)表示です。 ログカテゴリでのフィルタリング ログ件数のグラフの下にあるカテゴリ項目は、ユーザインタフェースとしては分かりにくいですが、チェックボックスをクリックするとチェックの付け外しができます。 下図では5つすべてのカテゴリにチェックが入っており、すべてのログが表示される状態になっていますが、確認したいログのカテゴリにのみチェックを入れることで、表示されるログカテゴリを絞り込みできます。 項目名 主なログ内容 Security Firewall、IPS等、セキュリティ機能のログです。ユーザの通信ログが含まれます。 Connectivity 接続に関するログです。ユーザや拠点の接続/切断のログや、DHCPの払い出しのログ等が含まれます。また、CMAへのログインやAPIの接続も、この項目に記録されます。 System LDAP連携やSCIM Provisioning等のログが含まれます。 Routing BGP Peerの追加/削除や、CatoクライアントでAlways-Onを一時的にバイパスしたログが記録されます。 Sockets Management SocketのUpgradeや、CMAからSocket WebUIへアクセスしたログが記録されます。 Eventsの見方 Eventsには、実際に発生したログが表示されます。通信の発生から数分以内にEventsにログが反映されます。 各イベントの日付の左にある「+」をクリックすると、以下のようにイベントの詳細が展開表示されます。 例: Blockのログを確認したい 左の「Fields」欄にて、確認したいログを絞り込みできます。 例として、Catoにて通信がBlockされたログを確認したいときは、「Action」を選択し、「Block」の横の「+」フィルタをクリックします。 すると、Action が Block のログのみが絞り込まれて表示されます。 フィルタを解除したいときは、グラフ上部のフィルタ欄にて、現在適用されているフィルタ項目の「×」をクリックすると、そのフィルタ項目が削除され、絞り込みが解除されます。 また、このフィルタ欄にて手動で条件を指定してのログ絞り込みが可能です。 例: 特定のモバイルユーザのログのみ確認したい フィルタ欄にて「+」をクリックすると、条件指定のウィンドウが表示されます。 特定のモバイルユーザのログのみを確認したい場合は、以下の図のように条件指定します。 項目 説明 Field 絞り込むフィールドを指定します。文字入力することで候補の絞り込みが可能です。 Operator Is(等しい)、Is Not(等しくない)、In(含む)、Not In(含まない) のいずれかを選択します。 Value 絞り込みたい条件となる値を入力します。 Sub-Typeでの絞り込み 他によく利用する操作として、Sub-Type毎のログ確認があります。 Sub-Typeは、ログのサブカテゴリのようなもので、Catoの機能毎のログに絞ることができます。 ここではよく使うSub-Typeを記載します。 Sub-Type名 ログ内容 Internet Firewall/ WAN Firewall 各Firewallのログです。 Anti Malware/ NG Anti Malware 各Anti Malware機能のログです。 IPS IPS機能でBlockされた通信のログです。 Suspicious Activity IPS機能でのBlockには至らなかったものの、疑わしい通信のログです。 DNS Protection IPSのDNS Protection機能でBlockしたDNS通信のログです。 TLS 通信は成立しているものの、通信先との間で証明書エラーが発生している通信のログです。 Connected/Disconnected/ Reconnected/Changed Pop 拠点やユーザの接続・切断・再接続・PoP切り替わりのログです。 最後に ログの Field は多数あるため、どの条件で絞り込むべきか迷うことがありますが、基本的には以下の流れとなります。 通信が発生した時間帯で絞り込む 通信元を「SDP User Email」または「Source Site」で絞り込む 通信先が判明している場合は、「Destination IP」や「Domain Name」で絞り込む 特定の機能ごとにログ検索したい場合は、「Sub-Type」を指定する トラブルの発生時に適切にログ確認が行えるよう、Events の基本的な見方を把握しておきましょう。 Events画面の詳細については、以下の Cato Knowledge Base もご参照ください。 Analyzing Events in Your Network | Cato Networks Knowledge Base

こんにちは。SCSKの島村です。 Google Cloudの最新生成系AIについて前回のブログでいくつかご紹介させていただきました。 まだ読まれていない方は、下記リンクよりご一読いただけますと幸いです。 【GCP】【AIML】Google Cloudの最新生成AIについて整理してみました。 Google Cloudの生成系AIをご存知でしょうか。大規模言語モデル（LLM）としてGoogleの「Bard」については既にご存知の方も多いのではないでしょうか。 本ブログでは、これからGA予定のサービスを含め、 Google I/O 2023でも発表されたGoogle Cloudの生成系AIサービス（Generative AI）についてご紹介できればと思います。 blog.usize-tech.com 2023.06.22 【GCP】【AIML】Google Cloudの最新生成AIについて整理してみました。② 本記事では、Google Cloudの生成系AIについての第二弾といたしまして、更に掘り下げてご紹介できればと思っております。 またGoogle Cloud の生成系AIとOpenAI社の生成系AIとの比較についてもまとめてみました。 blog.usize-tech.com 2023.07.06 本記事では、Google Cloudの生成系AIについての第3弾といたしまして、 Vertex AIでPaLM 2モデルを使用するための、「 Vertex AI PaLM APIが日本語対応 」いたしましたので、さっそく触ってみました。 Vertex AI PaLM APIを使用すると、独自のアプリケーション用にモデルのインスタンスをテスト、カスタマイズ、展開し、独自の特定のユースケースを使用してチューニングすることができます。 ＊本執筆は、2023年8月22時点で公開されている情報をもとに作成しております。  最新情報については、Google Cloud公式ドキュメント  「 Google Cloud ブログ| ニュース、機能、およびお知らせ | Google Cloud 公式ブログ 」をご確認ください。 Google Vertex AI PaLM APIとは Google PaLM （Pathways Language Model） Bardチャットボットを含む一連のGoogle AI製品に組み込まれているLLM PaLM2はPaLMにおける推論、言語、コーディング能力を拡張した大規模な一般LLM Google AI PaLM 2 – Google AI PaLM 2 - Google’s next generation large language model. ai.google 医療診断AIツールであるMed-PaLM 2や、ITセキュリティ脅威検出AIツールであるSec-PaLMなど 25を超えるGoogleの製品と機能に搭載 PaLM 2のモデルは、高度な推論タスク、分類、質問応答、翻訳、自然言語生成に優れています。 サイズが大きいため、言語内の複雑なパターンと関係を学習し、さまざまな用途向けに高品質のテキストを生成することができます。   Google PaLM APIに日本語で質問してみた。 さっそく、日本語対応されたPaLM APIを使ってみました。 今回は、PaLM APIを簡単に試せるGoogleCloudの生成系サービスの一つである「Generative AI Studio」を利用します。 Generative AI Studio とは？ 生成AIのプロトタイプをノーコード/ローコードで迅速に作成でき、カスタマイズ可能なGoolge CloudのAIサービス https://cloud.google.com/generative-ai-studio?hl=ja 過去の記事でも紹介しております。合わせてご一読いただければ幸いです。 【GCP】【AIML】Google Cloudの最新生成AIについて整理してみました。 – TechHarmony (usize-tech.com)   Generative AI Studio 利用手順 ①Google Cloudコンソールより[Vertex AI]タブから[GENERATIVE AI STUDIO]を選択する。 ②[+テキスト プロンプト]よりプロンプトを新規作成します。 ⓷プロンプトに質問文を日本語で入力後、[送信]ボタンを押下で回答を生成できます。 Generative AI Studio モデルパラメータにおけるチューニング ここでは、「Generative AI Studio」にてチューニング可能なモデルパラメータについて簡単にご紹介します。（添付画像参照） これらのパラメータは応答の品質を向上させるためのものであり、特定のタスクにおける出力のランダム性ををチューニングできます。 ランダム性を調整することで、最も確立の高い回答だけでなく、クリエイティブな応答としての出力も可能です。   温度（Temperature） https://cloud.google.com/vertex-ai/docs/generative-ai/learn/introduction-prompt-design#temperature ランダム性の度合いを調整するためのパラメータ。 温度を低く設定すると回答のばらつきが少なく、より予測精度の高い結果が出力可能です。   トークンの制限（Token limit） トークンの上限により、1 つのプロンプトから出力されるテキストの最大量が決まります。 トークンは約 4 文字です。デフォルト値は 256 です。   トップK（Top K） https://cloud.google.com/vertex-ai/docs/generative-ai/learn/introduction-prompt-design#top-p 各トークン選択ステップでは、最も確率の高い上位K個のトークンがサンプリングされる。 ランダムな応答を少なくしたい場合は低い値を、ランダムな応答が多くした場合は高い値を指定します。   トップP（Top P） https://cloud.google.com/vertex-ai/docs/generative-ai/learn/introduction-prompt-design#top-p  トークンは、確率の合計が top-P 値に等しくなるまで確率の高いもの（top-K を参照）から低いものへと選択される。 たとえば、トークン A、B、C の確率が 0.3、0.2、0.1 で、top-P の値が 0.5 の場合、モデルは次のトークンとして A か B のいずれかを温度を使って選択し、C は候補から除外します。 ランダムな応答を少なくしたい場合は低い値を、ランダムな応答が多くしたい場合は高い値を指定します。   最後に 今回は Google Cloudの「生成系AI」 について更に深堀してご紹介させていただきました。 また、今回利用した「Generative AI Studio」についてもっと知りたい方は、 Google Cloudの提供するトレーニングサービス「 Google Cloud Skills Boost 」から本サービスについて学習することが可能です。 「Google Cloud Skills Boost 」については、別記事にてご紹介しておりますので気になった方はご一読下さい。 【GCP】【AIML】 Google Cloud Skills Boostで「生成AI」を学んでみた。 – TechHarmony (usize-tech.com) 今後とも、AIMLに関する情報やGoogle CloudのAIMLサービスのアップデート情報を掲載していきたいと思います。 最後まで読んでいただき、ありがとうございました！！！

こんにちは。SCSKの島村です。 皆さんは、Google Cloudのトレーニングサービス「Google Cloud Skills Boost」をご存知でしょうか。 Google Cloud Skills Boost  Google Cloud Skills Boost は、 700 以上の学習アクティビティにオンデマンドでアクセスできるトレーニング サービス 。 データ、AI、インフラストラクチャ、セキュリティなどのトピックに関するハンズオンラボ、職種別のコース、スキルバッジ、認定資格取得に向けた学習リソースが全世界で提供されます。これらすべてをオンデマンドでご利用いただけます。 本記事では、「Google Cloud Skills Boost」にて新たに追加された学習コンテンツ「 Generative AI learning path 」について簡単にご紹介いたします。 私自身、実際に受講してみてました。受講してみての所感並びに本コースの概要について共有できればと存じます。 公開スキルバッジ：Google Cloud Skills Boost スキルバッジについては以下より詳細をご確認ください。 スキルバッジと認定資格の違い – Google Cloud 認定資格 ヘルプ また、Google Cloudの最新生成系AIについては別のブログでもご紹介させていただいております。 気になった方は、下記リンクよりご一読いただけますと幸いです。 【GCP】【AIML】Google Cloudの最新生成AIについて整理してみました。 Google Cloudの生成系AIをご存知でしょうか。大規模言語モデル（LLM）としてGoogleの「Bard」については既にご存知の方も多いのではないでしょうか。 本ブログでは、これからGA予定のサービスを含め、 Google I/O 2023でも発表されたGoogle Cloudの生成系AIサービス（Generative AI）についてご紹介できればと思います。 blog.usize-tech.com 2023.06.22   Generative AI learning pathでどんなことが学べるの？？ 受講可能なコースは以下となります。 2023/08/22時点では、学習に利用可能な言語が「English」のみとなります。   Generative AI learning path 学習プログラム一覧   1. Introduction to Generative AI　 初学者向け アコーディオンボックス内容 生成型 AI の定義 生成 AI がどのように機能するかを説明 生成 AI モデルの種類の説明 生成 AI アプリケーションの説明 生成 AI とは何か、その使用方法、従来の機械学習手法との違いについて学習できます。 入門レベルの内容で、生成AI アプリの開発に役立つ GoogleCloudの ツールについても解説していただけます。   2. Introduction to Large Language Models　 初学者向け 大規模言語モデル (LLM) の定義 LLM の使用例の説明 プロンプトチューニングの説明 Google の Gen AI 開発ツールについて説明 生成 AI とは何か、その使用方法、従来の機械学習手法との違いについて学習できます。 入門レベルの内容で、生成AI アプリの開発に役立つ GoogleCloudの ツールについても解説していただけます。   3. Introduction to Responsible AI　 初学者向け Google が AI 原則を導入した理由を理解する。 組織内で責任ある AI 実践の必要性を理解する。 プロジェクトのすべての段階で行われる決定が責任ある AI に影響を与えることを理解する。 組織は独自のビジネス ニーズや価値観に合わせて AI を設計できることを理解する。 責任ある AI とは何か、それが重要である理由、Google が製品に責任ある AI をどのように実装するかを学習できます。 GoogleのAI7原則についても解説していただけます。   4. Generative AI Fundamentals　 初学者向け 「Generative AI Fundamentals」というタイトルのクイズを完了して、スキル バッジを獲得する。 「生成 AI の概要」というタイトルのコースを完了する。 「大規模言語モデル (LLM) の紹介」というタイトルのコースを完了する。 「責任ある AI の概要」というタイトルのコースを完了する。 「生成 AI の概要」、「大規模言語モデルの概要」、「責任ある AI の概要」コースについての完了テストを行います。 生成 AI の基本概念を理解しているかを確認できます。   5. Introduction to Image Generation　 中級者向け 拡散モデル（Diffusion models）の仕組み 拡散モデルの実際の使用例 無条件拡散モデル 拡散モデルの進歩 (テキストから画像へ) 画像生成分野で利用されている拡散モデル（Diffusion models）について学べます。 Google Cloud 上の多くの最先端の画像生成モデルとツールを支えている拡散モデルについて、モデルの背後にある理論とそれを Vertex AI でトレーニングしてデプロイする方法を解説していただけます。   6. Encoder-Decoder Architecture　 中級者向け エンコーダ/デコーダ アーキテクチャの主要コンポーネントを理解する。 エンコーダー/デコーダー アーキテクチャを使用してモデルをトレーニングし、テキストを生成する方法を学ぶ。 Keras で独自のエンコーダー/デコーダー モデルを作成する方法を学ぶ。 エンコーダ/デコーダ アーキテクチャの概要について理解します。 エンコーダー/デコーダーアーキテクチャの主要コンポーネントとこれらのモデルをトレーニングして提供する方法について学びます。 対応するラボのチュートリアルでは、コンテンツを生成するためのエンコーダー/デコーダー アーキテクチャの簡単な実装をTensorFlow でコーディングする。   7. Attention Mechanism　 中級者向け Attentionの概念とその仕組みを理解する Attentionメカニズムが機械翻訳にどのように適用されるかを学ぶ Attentionメカニズムについて学習します。 またAttentionを利用して機械翻訳、テキストの要約、質問応答などのさまざまな機械学習タスクのパフォーマンスを向上させる方法について学びます。   8. Transformer Models and BERT Model　 中級者向け Transformer アーキテクチャの主要コンポーネントを理解する。 Transformers を使用して BERT モデルがどのように構築されるかを学ぶ。 BERT を使用して、さまざまな自然言語処理 (NLP) タスクを解決する。 Transformer アーキテクチャと Bidirectional Encoder Representations from Transformers (BERT) モデルについて学習します。 Self-Attention メカニズムなどの Transformer アーキテクチャの主要コンポーネントとそれを使用して BERT モデルを構築する方法についてか理解でき、また、テキスト分類、質問応答、自然言語推論など、BERT を使用できるさまざまなタスクについても学習します。   9. Create Image Captioning Models　 中級者向け 画像キャプション モデルのさまざまなコンポーネントを理解する。 画像キャプション モデルをトレーニングして評価する方法を学ぶ。 独自の画像キャプション モデルを作成する。 画像キャプション モデルを使用して、画像のキャプションを生成する。 深層学習を使用して画像キャプションモデルを作成する方法を学習します。 エンコーダーやデコーダーなど、画像キャプション モデルのさまざまなコンポーネントと、モデルをトレーニングして評価する方法について理解できます。   10. Introduction to Generative AI Studio　 初学者向け Generative AI Studio について説明する。 Generative AI Studio のオプションについて説明する。 Generative AI Studio 言語ツールを利用する。 Vertex AI の Generative AI Studio について紹介していだけます。 このコースでは、Generative AI Studio とは何か、その機能とオプション、製品のデモを通してその使用方法を学習できます。   最後に 今回は Google Cloud Skills Boostの「Generative AI learning path」 について共有させていただきました。 今後とも、AIMLに関する情報やGoogle CloudのAIMLサービスのアップデート情報を掲載していきたいと思います。 最後まで読んでいただき、ありがとうございました！！！

Catoクラウドは30日間のPoCが可能です。 PoC申し込みが完了し、Catoクラウドのアカウントが開設されましたら、まずはモバイルユーザとテスト拠点を接続してみましょう。 ここでは、最もシンプルにPoC環境を構築する流れについてご説明します。 Administratorアカウントの登録 Catoの管理画面である、Cato Management Application (以下CMA) に Administratorアカウントが登録されると、Cato Networksより以下のようなメールが自動送信されます。 「here」をクリックします。 なお、Activateメールの有効期限は1日のため、1日以上経ってしまった場合には、他の管理者にメールの再発行を依頼してください。 Create Passwordの画面に遷移しますので、任意のパスワードを設定します。 パスワードを設定し「Configure Password」をクリックすると、CMAのログイン画面に遷移しますので、メールアドレスと、設定したパスワードを入力し、「Log in」をクリックします。 モバイルユーザの接続 それではさっそくモバイルユーザをCatoクラウドに接続してみましょう。 モバイルユーザの作成 Activationメールの送信設定 CMAにログインし、Access > Users > Directory Services に進みます。 User Provisioningタブ内の下記項目にチェックを入れ、「Save」ボタンを押して保存します。 Send activation email to set password and MFA to new SDP users created in the Cato Management Application ※新規ユーザの作成時に、パスワード設定のメールを自動送信する設定です。 モバイルユーザのIPアドレスレンジの指定 モバイルユーザがCatoクラウドに接続した際に、Catoから割り当てされるプライベートIPアドレス範囲を設定します。 Access > Users >IP Allocation Policy に進みます。 Dynamic IP の IP Range欄に設定されているIPアドレスレンジが、モバイルユーザに動的に割り当てされる範囲です。デフォルトでは 10.41.0.0/16 となっていますが、/16～/24の範囲で任意に変更が可能です。 変更する際は IP Range欄を変更し、右上の「Save」ボタンを押して保存します。 新規モバイルユーザ作成 続いて、Access > Users > Users Directory に進みます。 「New」のボタンを押してユーザを作成します。 First Name, Last Name, E-mail の3項目を入力し、「Apply」を押すと、ユーザが作成されます。 モバイルユーザのパスワード設定 モバイルユーザが作成されると、登録したメールアドレス宛に以下のようなメールが届きます。 「here」をクリックすると、パスワード設定画面に移動します。 パスワードを設定し、「SAVE」をクリックします。 パスワードが設定されたら、「OK」をクリックします。 Catoクライアントのダウンロード画面に遷移します。 お使いのOSに合わせたクライアントをダウンロードしてください。 なお、Catoクライアントは以下のURLからもダウンロードが可能です。 Cato Downloads Easily download the newest Client version from this portal without authenticating clientdownload.catonetworks.com Catoクライアントのインストール ここでは、Windowsを例にご紹介します。 ダウンロードしたインストーラーをダブルクリックし、端末にインストールします。画面の指示に従いインストールを進めてください。 インストールにはPCの管理者権限が必要です。また、Catoクライアントは、他のVPNソフト(Pulse Secure Client, Palo Alto Global Protect等)と競合するため、これらがインストールされていない端末でお試しください。 Catoクライアントの起動 Catoクライアントを起動します。デスクトップにアイコンを作成した場合には、以下のようなアイコンがありますので、ダブルクリックしてください。 Catoクライアントが起動します。中央の接続ボタンを押します。 認証画面が開きます。クライアントのバージョンやOSによって画面遷移が異なりますが、先ほど作成したモバイルユーザのメールアドレス・パスワードを入力して進めてください。 ※「User Name」の欄には、モバイルユーザのメールアドレスを入力ください。 以下の画面になると、接続成功です。 中央のボタンを押すと切断されます。再接続時は、ユーザ情報がクライアントに保存されていますので、ボタンを押すだけで接続できます。 CMAからも接続状況を見てみましょう。 Access > Users > SDP Users Activity にて、接続中のユーザは「Connected」欄に緑のマークが表示されます。 これでモバイルユーザのCatoクラウドへの接続は完了です。 テスト拠点の接続 続いて、テスト拠点をCatoクラウドへ接続してみましょう。 以下の構成を例にご説明します。 Cato Socket X1500を利用 X1500を既設のルータ等に接続し、X1500に対してはDHCPでプライベートIPアドレスが払い出される Socket配下の端末へは、SocketからDHCPでアドレスを払い出しする 前提条件 Cato Socket が Catoクラウドへ接続するための前提条件として、Socketの設置環境が以下を満たしていることをあらかじめご確認ください。 Internet への通信が可能であること 以下のポートでの通信が可能であること (ポートが開放されていること) UDP port 53 UDP port 443 TCP port 443 以下のドメインの名前解決が可能であること (DNSの制限等がないこと) vpn.catonetworks.net cc2.catonetworks.com steering.catonetworks.com テスト拠点の作成 CMAにログインし、Network > Sites を表示します。「New」ボタンをクリックします。 拠点の設定を行います。以下の画面にて、各設定項目を入力してください。 項目 入力内容 Site Name Site名を任意に入力します  ※日本語も可能です Site Type Branch を選択します Connection Type Socket X1500 を選択します Country Japan を選択します Timezone Tokyo を選択します WAN1 Last-mile Bandwidth Downstream/Upstream とも 100 と入力 ※Siteの通信帯域となります。回線の実効帯域よりも大きい値を設定すると、パケットのDiscardが発生するため、回線帯域未満の値を設定してください。 Native Range テスト拠点のLAN側のアドレスレンジとなります。適宜ご指定ください 最後に「Apply」を押して設定を保存します。 一覧に戻ると、作成した Site が表示されています。 テスト拠点のDHCP設定 作成したSiteの拠点名をクリックすると、Siteの詳細設定が可能です。 Site Configuration > Network をクリックすると、先ほど設定したLAN側のアドレスレンジが設定されています。「Local IP」 は、Socket の LANインターフェイスのアドレスです。デフォルトで先頭アドレスが割り振られます。 DHCP設定を行うため、「Native」をクリックします。 Edit IP range 画面が表示されますので、以下のようにDHCPの設定を行います。 DHCP Type ⇒ DHCP Range DHCP Range ⇒ アドレス払い出しする範囲を上記図の例のように記載する 設定したら、「Apply」ボタンを押します。 Siteの設定画面に戻りますので、忘れず右上の「Save」をクリックし、設定を保存してください。 Socket接続 X1500 Socket の接続 X1500 Socket の電源を接続してください。電源スイッチはありませんので、電源接続すると起動します。 電源接続の右に、LANポートが並んでいます。以下のように接続してください。 3(WAN) ポート ⇒ Internet側 1 ポート ⇒ LAN側 (動作テストするPC端末) SocketをActivateする Socket が Internet に接続されると、CMAにて接続を検知します。 画面右上のベルのアイコンに、オレンジ色の通知が点灯したら、クリックして通知内容を確認します。 「Activate New Socket」という通知が表示されたら、通知内の「Accept」ボタンをクリックします。 すると、「Assign Site」というダイアログが表示されます。Socketを設置するSite(今回は作成したテスト拠点)をプルダウンで選択し、「OK」をクリックしてください。 以上で接続は完了です。 正しく接続されたか確認するため、Network > Sites を表示し、作成したテスト拠点をクリックします。続いて、左メニューで Site Cofiguration >Socket を選択します。 X1500 Socket が認識され、WAN1 が緑色になっていることを確認してください。 ※LAN1 にPC端末等が接続され UP している場合には、LAN1 も緑色に表示されます。 テスト用のPC端末を設定する Socket配下のPC端末から、Catoクラウド経由でインターネットへ出る場合、TLS Inspectionが動作しているため、Catoのルート証明書をインストールしておく必要があります。 証明書は以下よりダウンロードしてください。 Cato Downloads (catonetworks.com) Windows PC の場合、以下の手順にて証明書をインストールします。 入手した「CatoNetworksTrustedRootCA.cer」を右クリックし、「証明書のインストール」を選択 保存場所に「ローカルコンピューター」を選択し、「次へ」をクリック 「証明書をすべて次のストアに配置する」を選択 「参照」をクリックし、「信頼されたルート証明局」を選択し、「OK」をクリック 「次へ」をクリック 完了画面にて「完了」をクリック 以上でPCの設定は完了です。 ここまでの設定が問題なければ、このPCからCatoクラウド経由でInternet上のWebサイトへアクセスできますので、ご確認ください。 接続ログの確認 モバイルユーザ、テスト拠点からそれぞれアクセスができたら、Cato上でどのようにログが出ているかを確認しましょう。 CMAにログインし、Monitoring > Events にて、すべてのログが確認可能です。日付やログ種別、ユーザ単位での絞り込みもできますので、操作をお試しください。 まとめ モバイルユーザとテスト拠点をCatoクラウドに接続することができました。 引き続き、通信のチェックやセキュリティ機能のテストをお試しいただければ幸いです。 なお、SCSKではPoCの実施ご支援も承っています。本番構成への移行を見据えたPoC構成や、PoCでつまづきやすい点のサポートなど、豊富な導入実績を基にご支援いたします。ぜひお声がけください。

Catoクラウドの新機能 “Best Practices” がリリースされました。 “Best Practices”は、Catoクラウドの各機能の設定が、Catoの推奨設定と一致しているかを確認する機能です。 お客様のCato環境をよりセキュアに運用するため、ぜひご活用ください。 ここでは、”Best Practices” の内容と推奨設定についてご説明します。 本記事の内容は2023年8月15日時点のものです。チェック項目や機能等は随時アップデートされておりますので、下記のCato社ナレッジベースも合わせてご確認ください。 Cato Knowledge Base -Reviewing Best Practices for Your Account Best Practices の概要 Cato Management Application の以下よりアクセス可能です。 Monitoring > Best Practices 画面最上部に Score が表示されます。このアカウントがどのくらい推奨設定に沿っているかの指標です。100%に近づけるよう、各項目の設定を再チェックしていきましょう。 また、Best Practices のチェックは 24時間ごとに自動で行われますが、右端の更新ボタンを押すことで即時チェックが実行されます。設定の変更後などは再チェックをかけてみましょう。 各項目の右端が緑色で「Pass」と表示されていれば、推奨設定に沿っていることを示します。 赤の「Failed」となっている箇所は、推奨設定と異なっていることを示します。左端の「+」をクリックして詳細を確認してみましょう。 各項目の解説 Best Practicesの各項目について、具体的なチェック内容と推奨設定をご説明します。 Internet Firewall セクション Internet Firewall のセクションでは、その名の通り、Security > Internet Firewall の設定内容がチェックされます。 項目名 解説 Enable Internet Firewall Internet Firewall が有効化されているかどうかを判定します。 Block Risky Categories  「Spyware」や「SPAM」といった、リスクのあるURLカテゴリへの通信が Block に設定されているかどうかを判定します。この項目のURLカテゴリは、すべて Block することを推奨します。 Block/Prompt Suspicious Categories  「Uncategorized」や「Anonymizers」といった、疑わしいURLカテゴリへの通信が Block または Prompt に設定されているかどうかを判定します。 Block Risky Applications  「Tor」などの、リスクのあるアプリケーションの通信が Block に設定されているかどうかを判定します。この項目のアプリケーションは、すべて Block することを推奨します。 Block Risky Services  「Telnet」や「SSH」などのサービスの通信が Block に設定されているかどうかを判定します。Cato網から Internet に対してはこの項目のサービスはすべて Block し、必要な通信のみを個別のルールで許可することを推奨します。 Match the rule name with the rule action ルール名とActionに矛盾がないかを判定します。例えばルール名が「XXX_BLOCK」で、実際のアクションが Allow のルールが存在する場合、Failedとして判定します。 設定ミスを防ぐため、実態に合った命名を推奨します。 Define rules with the minimum required access 各ルールにて、最小限の許可が行われているかを判定します。具体的には、対象をすべて「Any」とした Allow のルールが存在する場合、Failedとして判定します。 ログ取得目的等で、このようなルールを意図的に設定する場合もありますが、そうでない場合には、SourceやApplication等を最小限に絞って設定することを推奨します。 WAN Firewall セクション WAN Firewall のセクションでは、Security > WAN Firewall の設定内容がチェックされます。 項目名 解説 Enable WAN Firewall WAN Firewall が有効化されているかどうかを判定します。 Block Risky Services  「SMBv1」や「Telnet」といった、レガシーなサービスの通信が Block に設定されているかどうかを判定します。この項目の通信は原則ブロックし、必要な通信のみを個別のルールで許可することを推奨します。 Define rules with the minimum required access 各ルールにて、最小限の許可が行われているかを判定します。具体的には、対象をすべて「Any」とした Allow のルールが存在する場合、Failedとして判定します。 ログ取得目的等で、このようなルールを意図に設定する場合もありますが、そうでない場合には、SourceやDestination等を最小限に絞ってルール設定することを推奨します。 Match the rule name with the rule action ルール名とActionに矛盾がないかを判定します。例えばルール名が「XXX_BLOCK」で、実際のアクションが Allow のルールが存在する場合、Failedとして判定します。 設定ミスを防ぐため、実態に合った命名を推奨します。 Threat Prevention セクション このセクションでは、Firewallを除く、Security 関連の設定内容がチェックされます。 項目名 解説 Enable NG Anti-Malware NG Anti-Malware が有効化されているかどうかを判定します。 Enable IPS IPS が有効化されているかどうかを判定します。 Set the IPS policy to block malicious activities IPS の Protection Policy にて、Action が Block となっているかを判定します。 Enable IPS Enforcement Options IPS の Enforcement Options にて、すべての項目にチェックが入っているかどうかを判定します。セキュリティ強化のため、各項目にチェックを入れ有効化することが推奨です。 Define IPS Geo Restriction rules IPS の Geo Restriction rules にて、特定の地域からのインバウンドまたは、特定の地域へのアウトバウンドを禁止する設定がされているかを判定します。 業務上の必要に応じて設定ください。 Too permissive Custom App セクション このセクションでは、Assets > Custom Apps の設定内容がチェックされます。 項目名 解説 Define specific parameters for Custom Apps 各Custom App にて、最小限の設定が行われているかを判定します。具体的には、Rulesで対象をすべて「Any」とした App が存在する場合、Failedとして判定します。Destination IP等を指定してルール設定することを推奨します。 TLS Inspection セクション 項目名 解説 Enable TLS Inspection TLS Inspection が有効化されているかどうかを判定します。 IPS や CASB の動作には TLS Inspection が必須のため、有効化が推奨です。 最後に Failed表示の項目があった場合は、推奨に沿った設定となるよう見直してみましょう。 また、見直し後も定期的に “Best Practices” ページの確認を行い、推奨から外れた設定がされていないかを確認するのがベストです。 設定内容にお悩みの際は、当社SCSKのCato担当エンジニアにぜひご相談ください。豊富な導入実績を基に、お客様の環境に沿った設定をご提案いたします。

前回は「Catoクラウドとは？」を解説しましたが、今回は、Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて解説します。 世界初のSASEプラットフォーム Catoクラウドとは？ Cato Networks社 の Catoクラウド（ケイトクラウド）についてご紹介します。 Catoクラウドは世界初のSASEのサービスであり、強固なセキュリティとシンプルな運用管理を実現します。 blog.usize-tech.com 2023.08.15 サービス基本料金 まず、Catoクラウドのサービス料金（課金）についてですが、以下の3つに対して基本料金が発生します。 拠点毎のPoP接続帯域、またはPoP接続総帯域 モバイルユーザ数 Socket数　 ※必要に応じて 拠点毎のPoP接続帯域、またはPoP接続総帯域 拠点は、” Site（サイト）ライセンス “というものになります。接続する拠点毎に、必要な帯域が25Mbps（最小）から、50M、75M、100M、200M、300M、400M、500M、600M、700M、800M、900M、1,000M、1,500M、2,000M、3,000M、5,000Mbps（最大）までメニュー料金が設定されています。 本社・支店・支社・営業所、データセンターなど物理的な拠点だけでなく、AWS、AzureなどのクラウドにもSiteライセンスが必要となります。契約帯域以上の速度はでません。それ以上の通信はQoS設定に従い、破棄（Discard）されます。 Siteライセンス以外に、2023年7月より総帯域（量）を購入する” Pooled（プールド）ライセンス ”の発売が開始されました。Pooledライセンスは、1,000Mbps以上での購入となります。Siteライセンスとは異なり、10Mbps単位で拠点への分割（増加/削減）を行うことができます。 料金については、Catoの提供地域（Region、リージョン）により異なります。日本は、 APJ （Asia Pacific and Japan）Regionとなります。 APJ 以外は、 NAM （北アメリカ）、 EUROPE （ヨーロッパ）、 AFRICA （アフリカ）、 MIDDLE EAST （中東）、 ANZ （オーストラリア）、 CHINA （中国）、 VIETNAM （ベトナム）、 LATAM （ラテンアメリカ）、 UAE （アラブ首長国連邦）、 MOROCCO （モロッコ）と合計11のRegionに分類されています。 モバイルユーザー数 モバイルユーザ（＝SDP※ユーザ）は、アカウント数による課金となります。 ※SDP･･･Software Defined Perimeter（ソフトウェア定義境界）はZTNAの別名です。従来型のリモートアクセスとは異なり、ゼロトラストの原則に則ったセキュアなリモートアクセス。Catoクラウドのリモート（モバイル）アクセスを意味します。 APJ、NAM、EUROPE、AFRICA、MIDDLE EAST、ANZ の Regionについては、共通の” Generalライセンス “となります。 CHINA、VIETNAM、LATAM、UAE、MOROCCO はそれぞれのRegion毎に別のメニュー体系となります。 購入したアカウント数以上は登録が行えません（エラーになります）ただし、予備で5ライセンスが付与されています。 SDPユーザは、10ユーザライセンスから購入が可能となります（予備を含むと15ライセンスになります） Generalライセンスについては、10～500、501～1,000、1,001～5,000、5,001～10,000、10,001･･･、とユーザ数毎に料金体系が異なります。 Socket数 Socketについては、物理ハードウェア Socketを一切利用せず、仮想アプライアンス（vSocket）や、既存ルータ・Firewall等を用いたIPsec接続のみを利用される場合は不要です。 Socketは、 X1500 、 X1600 、 X1700 の3機種があり、X1500が最大スループットが500Mbpsまで、2023年7月から提供開始となったX1600が1,000Mbpsまで、X1700が5,000Mbpsまでとなっております。 Socketは、冗長（HA）構成を行うことも可能です。予備機として手配することも可能ですが、手配したSocketすべてに費用が発生します。 Socketは、一括購入するのではなく、サブスクリプション（サービス課金）となります。 なお、Catoクラウドのご利用終了時には、返却いただく必要があります。   課金（請求）および契約について SCSKでは、 月額課金（月額請求） となります（一括請求も可能です） サービス基本料金と、後述のセキュリティオプションの合計を毎月ご請求いたします。 Siteライセンスの増速（例.25Mbps→50Mbps）は、増速した月からの追加課金（請求増）となります。 モバイルユーザの追加（例.+10ユーザ）も、追加した月からの追加課金（請求増）となります。 Socketについても、アップグレード（例.X1500→X1600）も可能です。 Catoクラウドのご契約期間は、 最低1年間 となります。 Catoクラウドの増速やモバイルユーザの追加、あるいはSocketのアップグレードは、契約期間中いつでも実施することが可能ですが、拠点の減速、モバイルユーザ削減、Socketダウングレードについては、契約更新時（更新月）にしか実施することができませんので注意が必要です。 また、契約期間中の増速・追加・アップグレードは、契約終了月までの契約になります。 例えば、2023年9月契約開始、2024年8月契約終了（1年契約）の場合に、2023年10月に拠点を増速した場合は、増速分の契約は、2023年10月から2024年8月の11ヵ月契約となります。 Catoクラウドの 最小構成 は、1 Siteライセンス、10 SDPユーザとなります。 上記最小構成は、モバイルユーザ 10名、拠点はクラウド（AWS）としてのSiteライセンス 25Mbpsとしています。 モバイルユーザ（APJ）については帯域の制限（上限）はありません。ただし、一部のRegionを除きます。 AWSのvSocketには料金は発生しません。ただし、AWSの利用量（仮想マシン利用、通信量等）は別途必要となります。 最小構成の費用感としては、定価ベースで年間60万以下（月額5万円以下）となりますので、他のSASEソリューションと比較すると、非常に安価でスモールスタートが可能なソリューションです。 ちなみに、Pooledライセンスは1,000Mbps以上の購入となりますが、Siteライセンスの100Mbpsをベースに価格設定されているため、100Mbps以下の拠点の合計帯域が1,000Mbps以上になる場合は、一度Pooledライセンスの購入検討を行われた方がよいです。 特に、25Mbps以下の低帯域（10M,20M）拠点が多く存在する場合は非常にコストメリットがでます。   オプション料金（セキュリティオプション） 現在、以下 6つのセキュリティオプションがあります（2023年8月時点） No. セキュリティオプション オプションサービス内容 1 Next Generation Anti-Malware アンチマルウェア（Anti-Malware）と次世代型アンチマルウェア（Next Generation Anti-Malware） 2 IPS Intrusion Prevention System 不正侵入防止システム（DNS Protectionを含む） 3 CASB Cloud Access Security Broker SaaS・アプリケーション利用の可視化/評価/制御 4 DLP Data Loss Prevention 機密情報や重要データの漏洩対策 5 RBI Remote Browser Isolation Webブラウザ分離 6 SaaS Security API 外部クラウドサービスのAPIによるセキュリティ検査（アンチマルウェア、DLP） セキュリティオプションは、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。 Site/PooledライセンスとSDPユーザは、必ず同じセキュリティオプションを選択する 必要があります。 Firewall機能（インターネット向けのInternet Firewall、拠点間のWAN Firewall、拠点内のLAN Firewall）や、SWG機能（URLフィルタリング）は、Catoの標準搭載機能となっています。 NGAM（AM） ･･･以前はAnti-MalwareとNext Generation Anti-Malware（NGAM）は別々のセキュリティオプションになっていましたが、NGAMに統合されました。いわゆるパターンファイルマッチングのアンチマルウェアと、機械学習エンジンを用いた振る舞い検知を含む次世代型のアンチマルウェアの2つ機能が利用できます。それぞれ別々にOn/Offが可能。 エンドユーザのデバイスにEPP（EDR）が導入されているので、本オプションを選択されないお客様もいますが、別ソリューションでの多重検査を要望されるお客様も多いです。 以下は、Anti-Malware（NGAM）の設定画面ですが、セキュリティオプションは、On/Offですぐに利用が可能です。 IPS ･･･ Catoクラウドで最もセキュリティ効果が高い機能と言えます。当社でCatoクラウドをご契約されているお客様では、一番多く選択されているオプションとなります。オンプレのIPS（IDS）と異なり、常に最新シグニチャを利用したサービス提供を受けることができます。AM/NGAMでは、検知できなくとも、クライアントがマルウェア感染した際の不正な外部通信（C&Cサーバとのアクセス）をIPSがブロックすることができます。 IPSには、不正なドメインへのアクセスをブロックする”DNS Protection”や、不審なアクセスをモニタリングする”Suspicious Activity Monitoring（SAM）”なども含まれています。順次機能強化されています。 CASB ･･･ SaaSアプリケーションやクラウドサービスの利用状況を可視化（＝シャドーITの可視化）を行います。Cato社で各アプリケーションを独自のセキュリティ・コンプライアンス等の視点で評価した Application Credibility Evaluator（ACE）を利用しており、それを元に管理者が、アプリケーション毎に利用許可（Sanction）を行うことが可能になります。さらにアプリケーションのアクティビティ単位での制御を行うことが可能になります。例えば、DropboxやGmailでダウンロードは許可するが、アップロードは許可しないなどです。また、Office365の企業テナントのみの利用を許可するなども、CASBオプションで実現が可能となります。 DLP ･･･ トラフィック上のすべてのファイルをスキャンして、機密情報の検出を行い、適切な措置を講じることができます。機密情報の特定には、事前にCato社で定義されたルール（データタイプ）を利用することも可能です。クレジットカードやマイナンバーカードなどは事前にルールが定義されていますが、個別に定義することも可能で、MIP（Microsoft Information Protection）ラベルとの連携も可能になっています。DLPオプションは、CASBオプションが選択されている必要があります。 RBI ･･･ ユーザーのエンドポイントデバイスの代わりに、Catoクラウドが、ユーザーのWeb閲覧セッションを実行し、その画面情報をユーザへ送信することによって、オンラインの脅威（不正プログラムのダウンロードや実行）を無力化するものです。 SaaS Security API ･･･ Catoクラウド以外から、SaaSアプリケーションやクラウドサービスを利用する場合、つまり外部とのコラボレーションを行う際の脅威を検出するために、SaaSアプリケーションへAPIを利用してセキュリティ検査（マルウェア検査やDLP）を行う機能となります。CASB、DLPのオプションが選択されている必要があります。SaaS Security APIは、1つのSaaSだけ検査可能な「SaaS Security API 1 App connector」、2つのSaaSを検査する「SaaS Security API 2 Apps connectors」、3つ以上のSaaSを検査する「SaaS Security API All Apps connectors」の3ライセンスになっております。 CASB、DLPは、昨年（2022年）にリリースされており、RBI、SaaS Security APIは、今年（2023年）にリリースされています。 今後も新たなセキュリティオプションが、順次リリースされてきますが、追加契約だけですぐに利用できるのがCatoクラウドの最大のメリットだと考えています。   マネージドサービス Cato社自身が提供する主要なマネージドサービスを2つご紹介します。 No. マネージドサービス サービス内容 1 MDR Managed Detection & Response 専任のセキュリティアナリストによるSOCサービス 2 ILMM Intelligent Last Mile Management ラストマイルインターネット回線管理サービス MDR ･･･ Cato社の専任のセキュリティ専門家によるアセスメントから、ゼロデプロイメント、全てのトラフィック常時監視し、継続的な脅威ハンティングサービスを提供します。また、個別のMDRポータルを提供（今後はCMAに統合予定）し、定期的なレポートとサービスレビュー（オンライン会議）が行われます。ただし、残念ながら、2023年8月時点では、MDRは英語対応のみ（レポートおよびオンラインのレビュー会議）となっており、 日本語は未対応 となっております。 ※そのため、SCSKでは、個別に日本語対応したSOCサービスを提供しております。 ILMM ･･･ Cato社のNOC（Network Operations Center）が、ラストマイルのインターネット回線のブラウンアウト（回線の品質やレスポンスが規定に満たない状況）や、顕著なパフォーマンス低下やブラックアウト（回線断）をリアルタイムに監視（検知）します。NOCが問題を検知し、回線を特定すると、NOCは、直接ISPへ（日本国内の場合は日本語で）連絡を行い問題解決を図ります。ISPと協力し、ネットワークの問題原因を特定し、問題解決を図り、お客様へ対応内容を適宜ご報告します。 ※ISPには、事前にお客様の委任状をいただくことで、ISPへの直接問い合わせを代理で実施します。 Cato社の主なマネージドサービスであるMDRとILMMを紹介しました。 マネージドサービスも、セキュリティオプションと同じく、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。   SCSKが提供するマネージドサービスについて SCSKでは、2019年よりCatoクラウドの取り扱いを開始し、お客様からのニーズに応じて様々なマネージドサービスをリリースしております。 Catoクラウドをご検討中のお客様へのPoCの支援から、初期の要件定義、設計・構築・導入支援、既存WANからの移行設計/移行支援、インターネット回線の調達から、拠点のSocket設置作業など、ご要望に応じて、あらゆるサービスを提供することが可能です（海外を含む） また、SASE、Catoクラウドは、既存WANや、セキュリティ機器の置き換えになるため、初期の構築だけでなく、運用保守が非常に重要となります。 そこで、SCSKが提供しているマネージドサービス（一部）をご紹介します。 No. SCSKマネージドサービス サービス概要 1 サービス窓口（SPOC） 24時間365日の電話・メールでのサービス受付窓口をご提供します。 海外拠点向けの英語での24時間365日の受付窓口もご準備しています。 2 障害一次切り分け 障害検知時、またはお客様からの通報にて、障害箇所（Catoクラウド/Socket/ネットワーク回線等）の一次切り分けを行います。 3 変更作業代行 お客様に代わってCatoクラウドの各種設定変更作業を実施します。 4 月次報告会 Catoクラウドから取得した各種データを分析して月次報告書を作成します。 ネットワークトラフィックの傾向分析、各種セキュリティログの分析結果を基にレポートを作成し、報告会を開催します。 5 Socketオンサイト保守 Socketのオンサイト24時間365日（駆付目標：4時間）保守サービス。 当社でSocket代替を事前手配した特別保守サービス。海外拠点向けのオンサイト保守サービスもご準備しています。 6 SOC監視サービス Catoクラウドのセキュリティログをセキュリティアナリストがリアルタイムで監視・分析を行い、必要に応じて、お客様へ電話・メールで通知を行います。 7 セキュリティ アドバイザリサービス お客様からの依頼に基づき、セキュリティアナリストが頂いた情報を調査・分析、知見をご提供します。 サービス窓口 ･･･ 24時間365日の電話、およびメールの窓口となります。障害のお問い合わせを始め、Catoクラウドの技術的なお問い合わせについても、サービス窓口で受付を行います。なお、技術問い合わせの回答については、平日9:00-17:00対応となります。 また、サービス窓口のご契約で、当社が運営するFAQサイトの契約者IDをお知らせします。FAQサイトには、一般公開情報とは別の追加情報や、Knowledge Baseへのリンク、当社作成の手順書・マニュアルなどをご提供しております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp 月次報告会 ･･･ Catoクラウドから取得できるトラフィックデータや各種ログ（Events）を取得し、集計・分析した結果から月次報告書を作成します。ネットワークトラフィックの分析（当月度、および過去半年間の傾向分析）、各セキュリティログの集計・分析、Catoクラウドの最新情報をまとめて月次報告書として作成し、報告会（オンライン）を開催します。 Socketオンサイト保守 ･･･ Socketのハードウェア障害時の日本全国4時間駆け付け目標のオンサイト保守サービスとなります。交換を行うSocketの代替機も、SCSKで事前に準備しておりますので、お客様で予備機を手配しておく必要がありません。（予備機費用が削減できます） SOC監視サービス 、 セキュリティアドバイザリサービス は、以下をご覧ください。 SASE「Catoクラウド」のセキュリティ・マネージドサービス機能を強化 SCSK株式会社（本社：東京都江東区、代表取締役 執行役員 社長 最高執行責任者：谷原 徹、以下 SCSK）は、SASEの概念を実装したネットワークセキュリティクラウドサービス「Catoクラウド」のセキュリティにおける検知・対応・復旧を強化する各マネージドサービスを2022年1月28日より提供開始します。 www.scsk.jp また、最近では、マネージドサービスではありませんが、Catoクラウドの現状設定内容について確認をして欲しいというお客様のご要望も多く、セキュリティ・アーキテクト・コスト（経済性）の3つの観点からCatoクラウドの現状設定内容のチェックを行う「 SASE設定診断サービス for Catoクラウド 」のご提供も開始しております。 今後は、当社の推奨設定やノウハウを取りまとめた「 Catoクラウド リファレンスガイド 」や「 APIツールキット 」のご提供も予定しております。   まとめ Catoクラウドのサービス体系、課金・契約、セキュリティオプション、マネージドサービスについてご紹介をしました。 また、SCSKのマネージドサービスについても合わせてご紹介させていただきましたが、もし興味がお持ちの方がいらっしゃれば、ご遠慮なくお問い合わせください。 “SASE”自体の知名度も低く、”Catoクラウド”、”Cato Networks”の知名度もはまだまだ低い状況です。 SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（S4）」を定期的に開催しており、それ以外には、Catoクラウドのお客様導入事例の制作、FAQサイト運営を行っております。 この TechHarmony（技術ブログ）で、さらに、皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。