前回は「Catoクラウドとは？」を解説しましたが、今回は、Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて解説します。 世界初のSASEプラットフォーム Catoクラウドとは？ Cato Networks社 の Catoクラウド（ケイトクラウド）についてご紹介します。 Catoクラウドは世界初のSASEのサービスであり、強固なセキュリティとシンプルな運用管理を実現します。 blog.usize-tech.com 2023.08.15 サービス基本料金 まず、Catoクラウドのサービス料金（課金）についてですが、以下の3つに対して基本料金が発生します。 拠点毎のPoP接続帯域、またはPoP接続総帯域 モバイルユーザ数 Socket数　 ※必要に応じて 拠点毎のPoP接続帯域、またはPoP接続総帯域 拠点は、” Site（サイト）ライセンス “というものになります。接続する拠点毎に、必要な帯域が25Mbps（最小）から、50M、75M、100M、200M、300M、400M、500M、600M、700M、800M、900M、1,000M、1,500M、2,000M、3,000M、5,000Mbps（最大）までメニュー料金が設定されています。 本社・支店・支社・営業所、データセンターなど物理的な拠点だけでなく、AWS、AzureなどのクラウドにもSiteライセンスが必要となります。契約帯域以上の速度はでません。それ以上の通信はQoS設定に従い、破棄（Discard）されます。 Siteライセンス以外に、2023年7月より総帯域（量）を購入する” Pooled（プールド）ライセンス ”の発売が開始されました。Pooledライセンスは、1,000Mbps以上での購入となります。Siteライセンスとは異なり、10Mbps単位で拠点への分割（増加/削減）を行うことができます。 料金については、Catoの提供地域（Region、リージョン）により異なります。日本は、 APJ （Asia Pacific and Japan）Regionとなります。 APJ 以外は、 NAM （北アメリカ）、 EUROPE （ヨーロッパ）、 AFRICA （アフリカ）、 MIDDLE EAST （中東）、 ANZ （オーストラリア）、 CHINA （中国）、 VIETNAM （ベトナム）、 LATAM （ラテンアメリカ）、 UAE （アラブ首長国連邦）、 MOROCCO （モロッコ）と合計11のRegionに分類されています。 モバイルユーザー数 モバイルユーザ（＝SDP※ユーザ）は、アカウント数による課金となります。 ※SDP･･･Software Defined Perimeter（ソフトウェア定義境界）はZTNAの別名です。従来型のリモートアクセスとは異なり、ゼロトラストの原則に則ったセキュアなリモートアクセス。Catoクラウドのリモート（モバイル）アクセスを意味します。 APJ、NAM、EUROPE、AFRICA、MIDDLE EAST、ANZ の Regionについては、共通の” Generalライセンス “となります。 CHINA、VIETNAM、LATAM、UAE、MOROCCO はそれぞれのRegion毎に別のメニュー体系となります。 購入したアカウント数以上は登録が行えません（エラーになります）ただし、予備で5ライセンスが付与されています。 SDPユーザは、10ユーザライセンスから購入が可能となります（予備を含むと15ライセンスになります） Generalライセンスについては、10～500、501～1,000、1,001～5,000、5,001～10,000、10,001･･･、とユーザ数毎に料金体系が異なります。 Socket数 Socketについては、物理ハードウェア Socketを一切利用せず、仮想アプライアンス（vSocket）や、既存ルータ・Firewall等を用いたIPsec接続のみを利用される場合は不要です。 Socketは、 X1500 、 X1600 、 X1700 の3機種があり、X1500が最大スループットが500Mbpsまで、2023年7月から提供開始となったX1600が1,000Mbpsまで、X1700が5,000Mbpsまでとなっております。 Socketは、冗長（HA）構成を行うことも可能です。予備機として手配することも可能ですが、手配したSocketすべてに費用が発生します。 Socketは、一括購入するのではなく、サブスクリプション（サービス課金）となります。 なお、Catoクラウドのご利用終了時には、返却いただく必要があります。   課金（請求）および契約について SCSKでは、 月額課金（月額請求） となります（一括請求も可能です） サービス基本料金と、後述のセキュリティオプションの合計を毎月ご請求いたします。 Siteライセンスの増速（例.25Mbps→50Mbps）は、増速した月からの追加課金（請求増）となります。 モバイルユーザの追加（例.+10ユーザ）も、追加した月からの追加課金（請求増）となります。 Socketについても、アップグレード（例.X1500→X1600）も可能です。 Catoクラウドのご契約期間は、 最低1年間 となります。 Catoクラウドの増速やモバイルユーザの追加、あるいはSocketのアップグレードは、契約期間中いつでも実施することが可能ですが、拠点の減速、モバイルユーザ削減、Socketダウングレードについては、契約更新時（更新月）にしか実施することができませんので注意が必要です。 また、契約期間中の増速・追加・アップグレードは、契約終了月までの契約になります。 例えば、2023年9月契約開始、2024年8月契約終了（1年契約）の場合に、2023年10月に拠点を増速した場合は、増速分の契約は、2023年10月から2024年8月の11ヵ月契約となります。 Catoクラウドの 最小構成 は、1 Siteライセンス、10 SDPユーザとなります。 上記最小構成は、モバイルユーザ 10名、拠点はクラウド（AWS）としてのSiteライセンス 25Mbpsとしています。 モバイルユーザ（APJ）については帯域の制限（上限）はありません。ただし、一部のRegionを除きます。 AWSのvSocketには料金は発生しません。ただし、AWSの利用量（仮想マシン利用、通信量等）は別途必要となります。 最小構成の費用感としては、定価ベースで年間60万以下（月額5万円以下）となりますので、他のSASEソリューションと比較すると、非常に安価でスモールスタートが可能なソリューションです。 ちなみに、Pooledライセンスは1,000Mbps以上の購入となりますが、Siteライセンスの100Mbpsをベースに価格設定されているため、100Mbps以下の拠点の合計帯域が1,000Mbps以上になる場合は、一度Pooledライセンスの購入検討を行われた方がよいです。 特に、25Mbps以下の低帯域（10M,20M）拠点が多く存在する場合は非常にコストメリットがでます。   オプション料金（セキュリティオプション） 現在、以下 6つのセキュリティオプションがあります（2023年8月時点） No. セキュリティオプション オプションサービス内容 1 Next Generation Anti-Malware アンチマルウェア（Anti-Malware）と次世代型アンチマルウェア（Next Generation Anti-Malware） 2 IPS Intrusion Prevention System 不正侵入防止システム（DNS Protectionを含む） 3 CASB Cloud Access Security Broker SaaS・アプリケーション利用の可視化/評価/制御 4 DLP Data Loss Prevention 機密情報や重要データの漏洩対策 5 RBI Remote Browser Isolation Webブラウザ分離 6 SaaS Security API 外部クラウドサービスのAPIによるセキュリティ検査（アンチマルウェア、DLP） セキュリティオプションは、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。 Site/PooledライセンスとSDPユーザは、必ず同じセキュリティオプションを選択する 必要があります。 Firewall機能（インターネット向けのInternet Firewall、拠点間のWAN Firewall、拠点内のLAN Firewall）や、SWG機能（URLフィルタリング）は、Catoの標準搭載機能となっています。 NGAM（AM） ･･･以前はAnti-MalwareとNext Generation Anti-Malware（NGAM）は別々のセキュリティオプションになっていましたが、NGAMに統合されました。いわゆるパターンファイルマッチングのアンチマルウェアと、機械学習エンジンを用いた振る舞い検知を含む次世代型のアンチマルウェアの2つ機能が利用できます。それぞれ別々にOn/Offが可能。 エンドユーザのデバイスにEPP（EDR）が導入されているので、本オプションを選択されないお客様もいますが、別ソリューションでの多重検査を要望されるお客様も多いです。 以下は、Anti-Malware（NGAM）の設定画面ですが、セキュリティオプションは、On/Offですぐに利用が可能です。 IPS ･･･ Catoクラウドで最もセキュリティ効果が高い機能と言えます。当社でCatoクラウドをご契約されているお客様では、一番多く選択されているオプションとなります。オンプレのIPS（IDS）と異なり、常に最新シグニチャを利用したサービス提供を受けることができます。AM/NGAMでは、検知できなくとも、クライアントがマルウェア感染した際の不正な外部通信（C&Cサーバとのアクセス）をIPSがブロックすることができます。 IPSには、不正なドメインへのアクセスをブロックする”DNS Protection”や、不審なアクセスをモニタリングする”Suspicious Activity Monitoring（SAM）”なども含まれています。順次機能強化されています。 CASB ･･･ SaaSアプリケーションやクラウドサービスの利用状況を可視化（＝シャドーITの可視化）を行います。Cato社で各アプリケーションを独自のセキュリティ・コンプライアンス等の視点で評価した Application Credibility Evaluator（ACE）を利用しており、それを元に管理者が、アプリケーション毎に利用許可（Sanction）を行うことが可能になります。さらにアプリケーションのアクティビティ単位での制御を行うことが可能になります。例えば、DropboxやGmailでダウンロードは許可するが、アップロードは許可しないなどです。また、Office365の企業テナントのみの利用を許可するなども、CASBオプションで実現が可能となります。 DLP ･･･ トラフィック上のすべてのファイルをスキャンして、機密情報の検出を行い、適切な措置を講じることができます。機密情報の特定には、事前にCato社で定義されたルール（データタイプ）を利用することも可能です。クレジットカードやマイナンバーカードなどは事前にルールが定義されていますが、個別に定義することも可能で、MIP（Microsoft Information Protection）ラベルとの連携も可能になっています。DLPオプションは、CASBオプションが選択されている必要があります。 RBI ･･･ ユーザーのエンドポイントデバイスの代わりに、Catoクラウドが、ユーザーのWeb閲覧セッションを実行し、その画面情報をユーザへ送信することによって、オンラインの脅威（不正プログラムのダウンロードや実行）を無力化するものです。 SaaS Security API ･･･ Catoクラウド以外から、SaaSアプリケーションやクラウドサービスを利用する場合、つまり外部とのコラボレーションを行う際の脅威を検出するために、SaaSアプリケーションへAPIを利用してセキュリティ検査（マルウェア検査やDLP）を行う機能となります。CASB、DLPのオプションが選択されている必要があります。SaaS Security APIは、1つのSaaSだけ検査可能な「SaaS Security API 1 App connector」、2つのSaaSを検査する「SaaS Security API 2 Apps connectors」、3つ以上のSaaSを検査する「SaaS Security API All Apps connectors」の3ライセンスになっております。 CASB、DLPは、昨年（2022年）にリリースされており、RBI、SaaS Security APIは、今年（2023年）にリリースされています。 今後も新たなセキュリティオプションが、順次リリースされてきますが、追加契約だけですぐに利用できるのがCatoクラウドの最大のメリットだと考えています。   マネージドサービス Cato社自身が提供する主要なマネージドサービスを2つご紹介します。 No. マネージドサービス サービス内容 1 MDR Managed Detection & Response 専任のセキュリティアナリストによるSOCサービス 2 ILMM Intelligent Last Mile Management ラストマイルインターネット回線管理サービス MDR ･･･ Cato社の専任のセキュリティ専門家によるアセスメントから、ゼロデプロイメント、全てのトラフィック常時監視し、継続的な脅威ハンティングサービスを提供します。また、個別のMDRポータルを提供（今後はCMAに統合予定）し、定期的なレポートとサービスレビュー（オンライン会議）が行われます。ただし、残念ながら、2023年8月時点では、MDRは英語対応のみ（レポートおよびオンラインのレビュー会議）となっており、 日本語は未対応 となっております。 ※そのため、SCSKでは、個別に日本語対応したSOCサービスを提供しております。 ILMM ･･･ Cato社のNOC（Network Operations Center）が、ラストマイルのインターネット回線のブラウンアウト（回線の品質やレスポンスが規定に満たない状況）や、顕著なパフォーマンス低下やブラックアウト（回線断）をリアルタイムに監視（検知）します。NOCが問題を検知し、回線を特定すると、NOCは、直接ISPへ（日本国内の場合は日本語で）連絡を行い問題解決を図ります。ISPと協力し、ネットワークの問題原因を特定し、問題解決を図り、お客様へ対応内容を適宜ご報告します。 ※ISPには、事前にお客様の委任状をいただくことで、ISPへの直接問い合わせを代理で実施します。 Cato社の主なマネージドサービスであるMDRとILMMを紹介しました。 マネージドサービスも、セキュリティオプションと同じく、サービス基本料金（Site/Pooledライセンス、SDPユーザ）への追加料金となります。   SCSKが提供するマネージドサービスについて SCSKでは、2019年よりCatoクラウドの取り扱いを開始し、お客様からのニーズに応じて様々なマネージドサービスをリリースしております。 Catoクラウドをご検討中のお客様へのPoCの支援から、初期の要件定義、設計・構築・導入支援、既存WANからの移行設計/移行支援、インターネット回線の調達から、拠点のSocket設置作業など、ご要望に応じて、あらゆるサービスを提供することが可能です（海外を含む） また、SASE、Catoクラウドは、既存WANや、セキュリティ機器の置き換えになるため、初期の構築だけでなく、運用保守が非常に重要となります。 そこで、SCSKが提供しているマネージドサービス（一部）をご紹介します。 No. SCSKマネージドサービス サービス概要 1 サービス窓口（SPOC） 24時間365日の電話・メールでのサービス受付窓口をご提供します。 海外拠点向けの英語での24時間365日の受付窓口もご準備しています。 2 障害一次切り分け 障害検知時、またはお客様からの通報にて、障害箇所（Catoクラウド/Socket/ネットワーク回線等）の一次切り分けを行います。 3 変更作業代行 お客様に代わってCatoクラウドの各種設定変更作業を実施します。 4 月次報告会 Catoクラウドから取得した各種データを分析して月次報告書を作成します。 ネットワークトラフィックの傾向分析、各種セキュリティログの分析結果を基にレポートを作成し、報告会を開催します。 5 Socketオンサイト保守 Socketのオンサイト24時間365日（駆付目標：4時間）保守サービス。 当社でSocket代替を事前手配した特別保守サービス。海外拠点向けのオンサイト保守サービスもご準備しています。 6 SOC監視サービス Catoクラウドのセキュリティログをセキュリティアナリストがリアルタイムで監視・分析を行い、必要に応じて、お客様へ電話・メールで通知を行います。 7 セキュリティ アドバイザリサービス お客様からの依頼に基づき、セキュリティアナリストが頂いた情報を調査・分析、知見をご提供します。 サービス窓口 ･･･ 24時間365日の電話、およびメールの窓口となります。障害のお問い合わせを始め、Catoクラウドの技術的なお問い合わせについても、サービス窓口で受付を行います。なお、技術問い合わせの回答については、平日9:00-17:00対応となります。 また、サービス窓口のご契約で、当社が運営するFAQサイトの契約者IDをお知らせします。FAQサイトには、一般公開情報とは別の追加情報や、Knowledge Baseへのリンク、当社作成の手順書・マニュアルなどをご提供しております。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp 月次報告会 ･･･ Catoクラウドから取得できるトラフィックデータや各種ログ（Events）を取得し、集計・分析した結果から月次報告書を作成します。ネットワークトラフィックの分析（当月度、および過去半年間の傾向分析）、各セキュリティログの集計・分析、Catoクラウドの最新情報をまとめて月次報告書として作成し、報告会（オンライン）を開催します。 Socketオンサイト保守 ･･･ Socketのハードウェア障害時の日本全国4時間駆け付け目標のオンサイト保守サービスとなります。交換を行うSocketの代替機も、SCSKで事前に準備しておりますので、お客様で予備機を手配しておく必要がありません。（予備機費用が削減できます） SOC監視サービス 、 セキュリティアドバイザリサービス は、以下をご覧ください。 SASE「Catoクラウド」のセキュリティ・マネージドサービス機能を強化 SCSK株式会社（本社：東京都江東区、代表取締役 執行役員 社長 最高執行責任者：谷原 徹、以下 SCSK）は、SASEの概念を実装したネットワークセキュリティクラウドサービス「Catoクラウド」のセキュリティにおける検知・対応・復旧を強化する各マネージドサービスを2022年1月28日より提供開始します。 www.scsk.jp また、最近では、マネージドサービスではありませんが、Catoクラウドの現状設定内容について確認をして欲しいというお客様のご要望も多く、セキュリティ・アーキテクト・コスト（経済性）の3つの観点からCatoクラウドの現状設定内容のチェックを行う「 SASE設定診断サービス for Catoクラウド 」のご提供も開始しております。 今後は、当社の推奨設定やノウハウを取りまとめた「 Catoクラウド リファレンスガイド 」や「 APIツールキット 」のご提供も予定しております。   まとめ Catoクラウドのサービス体系、課金・契約、セキュリティオプション、マネージドサービスについてご紹介をしました。 また、SCSKのマネージドサービスについても合わせてご紹介させていただきましたが、もし興味がお持ちの方がいらっしゃれば、ご遠慮なくお問い合わせください。 “SASE”自体の知名度も低く、”Catoクラウド”、”Cato Networks”の知名度もはまだまだ低い状況です。 SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit（S4）」を定期的に開催しており、それ以外には、Catoクラウドのお客様導入事例の制作、FAQサイト運営を行っております。 この TechHarmony（技術ブログ）で、さらに、皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。