2024年2月以降のCatoクラウドの新しいサービス体系、基本・オプション料金、マネージドサービスについて解説を行います。
これまで(2024年1月末まで)のサービス体系、および新旧の変更内容については以下の記事を参照ください。
サービス基本料金
Catoクラウドのサービス料金については、以下の3つに対して基本料金が発生します。
- 拠点毎のPoP接続帯域、またはPoP接続総帯域
- モバイルユーザ
- Socket
拠点毎のPoP接続帯域、またはPoP接続総帯域
Catoクラウドでは、拠点は”Site(サイト)ライセンス“というものになります。接続する拠点毎の帯域として、最小 25Mbpsから、50M、100M、250M、500M、1,000M、2,000M、3,000M、5,000Mbps、10,000Mbps(最大)まで 10個のメニューが設定されています。
本社・支店・営業所、データセンターなど物理的な拠点だけでなく、AWS、AzureなどのクラウドにもSiteライセンスが必要となります。
契約帯域以上の速度は出ません。それ以上の通信はQoS設定に従い、破棄(Discard)されます。
Siteライセンス以外に、接続する複数拠点の総帯域を購入する”Pooled(プールド)ライセンス“というものがあります。Pooledライセンスは、1,000Mbps以上(追加単位100Mbps)での購入となります。Siteライセンスとは異なり、10Mbps単位で拠点への分割でき、拠点帯域の増速/減速を行うことが可能です。
料金は、国により異なります。Catoクラウドでは、世界各国を大きく3つのグループ Group1、Group2、Stand-alone Countries に分割しています。日本は、Group2 に所属します。
Stand-alone Countries(単独国)は中国、ベトナム、モロッコの3ヵ国となり、それぞれの国毎に価格設定がされているため、全部で以下の5つの料金体系となります。
- Group1(北アメリカ、ヨーロッパ)
- Group2(日本を含むアジア、オーストラリア、アフリカ、メキシコ)
- Stand-alone Countries(中国)
- Stand-alone Countries(ベトナム)
- Stand-alone Countries(モロッコ)
Group1、Group2、Stand-alone Countriesは以下(世界地図)の通りです。
Stand-alone Countriesについては、先ほどの25M、50M、・・・、10,000Mの 10個のメニューではなく、国内(Regional)/国外(Global)向けの通信をそれぞれ1Mbps単位で契約を行います(最小2Mbps以上)
価格としては、(安い)Group1 < Group2 < Stand-alone Countries (高い)となります。
Pooledライセンスは、同じグループ内での分配が可能となっております。
なお、Stand-alone Countries(中国、ベトナム、モロッコ)には、Pooledライセンスはございません。
通常は、SASEライセンスという後述のSocketの利用を前提としたライセンスになりますが、Socketを利用しない(IPsec接続)場合には、より安価なSSEライセンスを適用することも可能です。
モバイルユーザ
モバイルユーザ(=SDP※ユーザ)は、アカウント数による課金となります。
※SDP・・・Software Defined Perimeter(ソフトウェア定義境界)は、ZTNAの別名で、従来型のリモートアクセスとは異なり、ゼロトラストの原則に則ったセキュアなリモートアクセスです。Catoクラウドのリモート(モバイル)アクセスを意味します。
Group1、Gropup2については、共通の”Generalライセンス“となります。
Stand-alone Countries(中国、ベトナム、モロッコ)はそれぞれ別のメニュー体系となります。
購入したアカウント数以上は登録が行えません(エラーになります)
また、予備でGeneralライセンス 5つが付与されています。
SDPユーザは、10ユーザライセンスから購入が可能となります。追加も10ユーザ単位での購入となります。
Generalライセンスについては、10~500、501~1,000、1,001~5,000、5,001~10,000、10,001・・・、と契約ユーザ数毎にボリュームディスカウント料金が適応されます。
モバイルユーザは、端末にCatoクライアントをインストールしますが、1ユーザ(アカウント)で、3台(デバイス)まで利用することが可能です。
Socket
Socket(ソケット)は、物理ハードウェアアプライアンスとして、X1500、X1600、X1700の3機種があり、X1500の最大スループットが500Mbps、X1600が1,000Mbps、X1700が5,000Mbpsまでとなっております。
X1600については「ベーシックモデル」とSIMが搭載可能な「LTEモデル」がリリースされており、今後、「Wi-Fiモデル」、「5Gモデル」、「Wi-Fi+セルラーモデル」などがリリースされる予定です。
物理Socketを一切利用せず、仮想アプライアンス(vSocket)や、既存ルータやFirewall等を用いたIPsec接続のみを利用される場合は費用は掛かりません。
Socketは、冗長(HA)構成を行うことが可能です。コールドスタンバイの予備機として手配することも可能です。
Socketは、一括購入するのではなく、サブスクリプション(サービス課金)となりますので、手配したSocketすべてに費用が発生します。
ラックマウントキットやウォールマウントキットも有り、同じくサブスクリプションで提供されています。
サブスクリプションのため、Catoクラウドのサービス終了時には、すべて返却(返送)いただく必要があります。
オプション料金(セキュリティオプション)
現在、以下 7つのセキュリティオプションがあります(2024年2月時点)
| No. | セキュリティオプション | オプションサービス内容 |
|---|---|---|
| 1 | Threat Prevention | アンチマルウェア(AM)、次世代型アンチマルウェア(NGAM)、IPS(Intrusion Prevention System)、DNS Security、Threat Intelligence、インラインAI/ML、アンチフィッシング |
| 2 | CASB | Cloud Access Security Broker SaaS・アプリケーション利用の可視化/評価/制御 |
| 3 | DLP | Data Loss Prevention 機密情報や重要データの漏洩対策 |
| 4 | RBI | Remote Browser Isolation Webブラウザ分離 |
| 5 | SaaS Security API | 外部クラウドサービスのAPIによるセキュリティ検査(アンチマルウェア、DLP) |
| 6 | XDR Security Pro | Extended Detection and Response 拡張検出と対応 |
| 7 | Endpoint Security(EPP) | Endpoint Protection Platform エンドポイントプロテクションプラットフォーム |
セキュリティオプションは、サービス基本料金(Site/Pooledライセンス、SDPユーザ)への追加料金となります。
Site(Pooled)ライセンスとSDPユーザは、必ず同じセキュリティオプションを選択する必要があります。
(特定拠点のみセキュリティオプションなし、SDPユーザのみセキュリティオプションなし、の契約はできません)
Threat Prevention
パターンファイルマッチングのアンチマルウェア(Anti-Malware)と、機械学習エンジンを用いた振る舞い検知を含む次世代型アンチマルウェア(Next Generation Anti-Malware)、Catoクラウドで最もセキュリティ効果が高い IPS、不正なドメインへのアクセスをブロックする DNS Protection 、不審なアクセスをモニタリングする Suspicious Activity Monitoring(SAM)、Threat Intelligence、インライン AI/ML、アンチフィッシングなどの脅威対策がすべて含まれています。
CASB
SaaSアプリケーションやクラウドサービスの利用状況を可視化(=シャドーITの可視化)を行います。Cato社で各アプリケーションを独自のセキュリティ・コンプライアンス等の視点で評価した Application Credibility Evaluator(ACE)を利用しており、それを元に管理者が、アプリケーション毎に利用許可(Sanction)を行うことが可能になります。さらにアプリケーションのアクティビティ単位での制御を行うことが可能になります。例えば、DropboxやGmailでダウンロードは許可するが、アップロードは許可しないなどです。また、Office365の企業テナントのみの利用を許可するなども、CASBオプションで実現が可能となります。
DLP
トラフィック上のすべてのファイルをスキャンして、機密情報の検出を行い、適切な措置を講じることができます。機密情報の特定には、事前にCato社で定義されたルール(データタイプ)を利用することも可能です。クレジットカードやマイナンバーカードなどは事前にルールが定義されていますが、個別に定義することも可能で、MIP(Microsoft Information Protection)ラベルとの連携も可能になっています。
RBI
ユーザーのエンドポイントデバイスの代わりに、Catoクラウドが、ユーザーのWeb閲覧セッションを実行し、その画面情報をユーザへ送信することによって、オンラインの脅威(不正プログラムのダウンロードや実行)を無力化するものです。
SaaS Security API
Catoクラウド以外から、SaaSアプリケーションやクラウドサービスを利用する場合、つまり外部とのコラボレーションを行う際の脅威を検出するために、SaaSアプリケーションへAPIを利用してセキュリティ検査(マルウェア検査やDLP)を行う機能となります。
2024年2月時点で、Microsoft Exchange/OneDrive/SharePoint、Google Drive/Gmail、Box、Slack、Salesforce、ServiceNowに対応しております。
SaaS Security APIは、1つのSaaSだけ検査可能な「SaaS Security API 1 App connector」、2つのSaaSを検査する「SaaS Security API 2 Apps connectors」、3つ以上のSaaSを検査する「SaaS Security API All Apps connectors」の3つのライセンス体系となっております。
※SaaS Security API は、2024年6月から、帯域課金からナレッジユーザ課金へ変更となり、SaaS Security API All Appsのみになります。
・DLPは、CASB契約が前提となります。
・SaaS Security APIは、DLP契約が前提となります。
・SaaS Security APIでマルウェア検査をする場合は、Threat Preventionの契約が前提となります。
・SaaS Security APIのシングルコネクターは同じベンダーのアプリケーションはすべてで機能します。
例えば、Microsoft app connectorは、Microsoft 365アプリケーション(One Drive、Sharepoint等)全てで利用できます。
XDR Security Pro
CatoのXDR Securityは、世界初のSASEベースのXDR(Extended Detection and Response)です。
XDR Securityには、CoreとProの2種類があり、XDR Security Coreについては、Catoクラウドをご利用のすべてのお客様が無料でご利用可能です。ただし、XDR Security Coreは、セキュリティオプション IPSのログを元にセキュリティインシデントの分析をしていますので、Threat Preventionの契約が前提となります。
また、現時点では、Microsoft Defender for Endpoint のみですが、主要なEDR製品(CrowdStrike、SentinelOne)との連携が予定されています。
XDR Security Proは、セキュリティインシデントに対する対応(SOC通知の対応)が可能なお客様向けに提供される機能で、AIベースの脅威ハンティング(Threat Hunting)、ユーザー行動分析(User Behavioral Analysis)、インシデントライフサイクル管理を追加したセキュリティオプションとなります。XDR Security Core同様Threat Preventionの契約が前提となります。
後述のCato社のマネージドサービスであるMDRは、XDR Security Proの契約が前提になります。
Endpoint Security(EPP)
世界初のSASEベースのエンドポイントセキュリティ(EPP)となります。これまでのSASEのカバレッジ範囲を、ネットワーク層を超えてエンドポイントにまで拡張する製品となり、Cato管理アプリケーション(CMA)に完全に統合管理され、クラウドネイティブな他のセキュリティスタックと連携して動作します。
EPPは、端末にEPPソフトウェアをインストールします。SDPユーザの利用デバイス数上限と同様に3デバイスが上限となります。
CASB、DLPは、2022年にリリースされており、RBI、SaaS Security APIは、2023年にリリースされており、以下のXDR Security、Endpoint Security(EPP)は、2024年2月にリリースされています。
今後も新たなセキュリティオプションが順次リリースされますが、契約だけですぐに利用できるのが、SASE、Catoクラウドの最大のメリットです。
セキュリティオプションの課金体系について
セキュリティオプションの課金は、Threat Prevention、CASB、DLP、RBIは、PoP接続帯域に伴う帯域課金体系となっております。
SaaS Security API、XDR Security Pro、Endpoint Security(EPP)、MDRは、Knowledge Users(ナレッジユーザ)課金となります。
ナレッジユーザとは、企業のM365やG-Suite契約ユーザ数のことで、同契約ユーザ数での契約となります。
※SaaS Security API は、2024年6月から、帯域課金からナレッジユーザ課金へ変更となります。
マネージドサービス
次に、Cato Networks社の提供するマネージドサービスについて紹介します。
| No. | マネージドサービス | サービス内容 |
|---|---|---|
| 1 | MDR | Managed Detection & Response 専任のセキュリティアナリストによるSOCサービス ※日本語未対応 |
| 2 | ILMM | Intelligent Last Mile Management ラストマイルインターネット回線管理サービス |
MDR
Cato社の専任のセキュリティ専門家によるアセスメントから、ゼロデプロイメント、全てのトラフィック常時監視し、継続的な脅威ハンティングをサービス提供します。定期的なレポートとサービスレビュー(オンライン会議)が行われます。
残念ながら、2024年4月時点では、MDRは英語対応のみ(レポートおよびオンラインのレビュー会議等)となっており、日本語は未対応となっております。
そのため後述しますが、SCSKでは個別に日本語対応したSOCサービスをご提供しております。
ILMM
Cato社のNOC(Network Operations Center)が、ラストマイルのインターネット回線のブラウンアウト(回線の品質やレスポンスが規定に満たない状況)や、顕著なパフォーマンス低下やブラックアウト(回線断)をリアルタイムに監視(検知)します。NOCが問題を検知し、回線を特定すると、NOCは、直接ISPへ(日本国内の場合は日本語で)連絡を行い問題の解決を図ります。ISPと協力し、ネットワークの問題原因を特定し、問題解決を図り、お客様へ対応内容を適宜ご報告します。
ISPには、事前にお客様の委任状をいただくことで、ISPへの直接問い合わせを代理で実施します。
MDRは、ナレッジユーザ課金となりますは、ILMMは、拠点単位での追加料金となります(最低契約金額有り)
課金(請求)および契約について
SCSKでは、月額課金(月額請求)となります(一括請求することも可能です)
サービス基本料金とオプション料金(セキュリティオプション、マネージドサービス)の合計を毎月ご請求いたします。
Siteライセンスの増速(例 25Mbps→50Mbps)や、モバイルユーザの追加(例 +10ユーザ)も、追加した月からの追加課金(請求増)となります。
Socketについてもサブスクリプションですのでアップグレードが可能です。X1500からX1600、X1700へのアップグレードを実施した場合は、アップグレード実施月からの追加課金(請求増)となります。
その他に、お客様毎に個別割り当てを行うグローバルIPアドレスも3つまでは基本契約に含まれますが、4つ目以上はオプション(追加課金)となります。
次に、Catoクラウドのご契約期間は、最低1年間となります。
複数年契約を行われるお客様も多いです。
Catoクラウドの増速やモバイルユーザの追加、あるいはSocketのアップグレードは、契約期間中いつでも実施することが可能ですが、拠点の解約、帯域減速、モバイルユーザ削減、Socketダウングレードについては、契約更新時(更新月)にしか実施することができませんのでご注意ください。
また、契約期間中の増速・追加・アップグレードは、契約終了月までの契約になります。
例えば、2024年2月契約開始、2025年1月契約終了の1年契約の場合、2024年4月に拠点を増速した場合は、増速分の契約は2024年4月から2025年1月の10ヵ月契約となります。
Catoクラウドの最小構成は、1 Siteライセンス、10 SDPユーザとなります。
上記の最小構成は、モバイルユーザ 10名、拠点はクラウド(AWS)としてのSiteライセンス 25Mbpsとしています。
モバイルユーザ(日本)については、帯域の制限(上限)はありませんが、一部の地域(中国やベトナム等)については上限があります。
AWSのvSocketには料金は発生しません。ただし、AWSの利用量(仮想マシン利用、通信量等)は別途必要となります。
最小構成の費用感としては、定価ベースで年間65万以下(月額6万円以下)となりますので、他のSASEソリューションと比較すると、非常に安価でスモールスタートが可能なソリューションです。
ちなみに、Pooledライセンスは1,000Mbps以上の購入となりますが、Siteライセンスの100Mbpsをベースに価格設定されているため、100Mbps以下の拠点の合計帯域が1,000Mbps以上になる場合は、Pooledライセンスの購入検討を行われた方が賢明です。特に、25Mbps以下の狭帯域(10M,20M)拠点が多く存在する場合は非常にコストメリットがでます。
SCSKのマネージドサービスについて
SCSKでは、2019年よりCatoクラウドの取り扱いを開始し、お客様からのニーズに応じて様々なマネージドサービスをご提供しております。
Catoクラウドをご検討中のお客様へのPoCの支援から、既存環境の現状調査、要件定義、設計・構築・導入支援、既存WANやセキュリティ機器からの移行設計/移行支援、拠点のインターネット回線の調達から、拠点のSocket設置作業など、ご要望に応じて、あらゆるサービスを提供することが可能です(もちろん、日本国内だけでなく海外も含みます)
また、SASE、Catoクラウドは、既存WANやセキュリティ機器の置き換えになるため、初期の構築だけでなく、運用保守が非常に重要となります。
そこで、SCSKが提供しているマネージドサービス(一部)をご紹介します。
| No. | SCSKマネージドサービス | サービス概要 |
|---|---|---|
| 1 | サービス窓口(SPOC) | 24時間365日の電話・問い合わせシステムでのサービス受付窓口をご提供します。 海外拠点向けの英語での24時間365日の窓口もご準備しています。 |
| 2 | 監視・障害一次切り分け | 拠点の障害監視を行い、障害検知(またはお客様からの通報)時に、障害箇所(Catoクラウド/Socket/ネットワーク回線等)の一次切り分けを行います。 |
| 3 | 変更作業代行 | お客様に代わってCatoクラウドの各種設定変更作業を実施します。 |
| 4 | 月次報告会 | Catoクラウドから取得した各種データを分析して月次報告書を作成します。 ネットワークトラフィックの傾向分析、各種セキュリティログの分析結果を基にレポートを作成し、報告会を開催します。 |
| 5 | Socketオンサイト保守 | Socketのオンサイト24時間365日(駆付目標:4時間)保守サービス。 当社でSocket代替を事前手配した特別保守サービス。海外拠点向けのオンサイト保守サービスもご準備しています。 |
| 6 | SOC監視サービス | Catoクラウドのセキュリティログをセキュリティアナリストがリアルタイムで監視・分析を行い、必要に応じて、お客様へ電話・メールで通知を行います。 |
| 7 | セキュリティ アドバイザリサービス | お客様からの依頼に基づき、セキュリティアナリストが頂いた情報を調査・分析、知見をご提供します。 |
| 8 | ログ保管サービス | Catoクラウドではログ保管期間が定められているため、3年間の長期保管を行います。お客様のご依頼に応じてログを抽出してご提供します。 |
| 9 | 設定診断サービス | ※すでにCatoクラウドをご利用のお客様が対象 セキュリティ・アーキテクト・コスト(経済性)の3つの観点からCatoクラウドを推奨設定に基づき、現状の設定内容を確認し、報告書を作成します。 |
サービス窓口 ・・・ 24時間365日のサービス窓口となります。障害のお問い合わせを始め、Catoクラウドの技術的なお問い合わせについても、サービス窓口にて受付を行います。電話での受付と、技術問い合わせについては問い合わせシステムで受付を行っております。技術問い合わせは、平日9:00-17:00対応となります。
また、サービス窓口のご契約で、当社が運営するFAQサイトの契約者IDを発行します。FAQサイトには、一般公開情報とは別の追加情報や、Knowledge Baseへのリンク、当社作成の手順書・マニュアルなどをご提供しております。
月次報告会 ・・・ Catoクラウドから取得できるトラフィックデータや各種ログ(Events)をAPIで取得し、集計・分析した結果から月次報告書を作成します。ネットワークトラフィックの分析(当月度、および過去半年間の傾向分析)、各セキュリティログの集計・分析、さらに、毎週リリースされるCatoクラウドの最新情報をとりまとめて月次報告書として作成し、報告会(オンライン)を開催します。
Socketオンサイト保守 ・・・ Socketのハードウェア障害時の日本全国4時間駆け付け目標のオンサイト保守サービスとなります。交換を行うSocketの代替機も、SCSKにて事前に準備しておりますので、お客様で予備機を手配しておく必要がありません(Socketの予備機コストが削減できます)
SOC監視サービス、セキュリティアドバイザリサービスは、以下をご覧ください。
ログ保管サービス ・・・ 2023年11月よりCatoクラウドのログを含むデータ保管期間(標準)が6ヵ月から3ヵ月に短縮されました。一方で3ヵ月を6ヵ月、12ヵ月に延長を行うオプション(Data Lake Storage)がリリースされていますが、比較的高価なオプションとなりますので、SCSKにてログを3年間保管するより安価なサービスとしてリリースしております。
設定診断サービス ・・・ Catoクラウドの現状設定内容について確認をして欲しいというご要望が多く、セキュリティ・アーキテクト・コスト(経済性)の3つの観点から、SCSKの推奨設定に基づき、現状の設定内容を確認し、報告書を作成し、報告を行うサービスとなります。すでにCatoクラウドをご利用になられているお客様が対象となります。
今後は、当社の推奨設定やノウハウを取りまとめた「Catoクラウド リファレンスガイド」や「APIツールキット」のサービス提供も計画しております。
まとめ
Catoクラウドのサービス体系、基本料金、オプション、マネージドサービス、課金・契約、さらに、SCSKのマネージドサービスについても合わせてご紹介させていただきましたが、もし興味がお持ちの方がいらっしゃれば、ご遠慮なくお問い合わせください。
“SASE”自体の知名度も低く、”Cato Networks社”、”Catoクラウド(Cato Cloud/Cato SASE Cloud)”の知名度もはまだまだ低い状況です。SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称 S4 エスフォー)」を定期的に開催しております。これまで14回開催し、1,800名以上の方にご参加いただいております。
次回S4は、2024年6月に開催する予定です。
2024年5月30日(木)Catoクラウドのデモセミナーをオンライン形式で開催しますので、Catoクラウドの管理ポータルや実際の操作方法を確認されたい方は、是非ご参加ください。
また、Catoクラウド 1Day ハンズオンセミナーを全国5都市(東京/大阪/名古屋/博多/札幌)でオフライン(対面)形式で開催します。
2024年6月6日(木)東京開催しますので、こちらも是非ご参加ください。
SASEセミナー以外に、Catoクラウドのお客様導入事例の制作、FAQサイト運営、この TechHarmony(技術ブログ)で、皆様のお役に立て、Catoクラウドの知名度アップに少しでも貢献できればと考えておりますので、よろしくお願いします。