皆さん、こんにちは

今回はSASE市場でも注目されるCato Networksの導入を検討しているIT管理者・情シスの皆様に向けて、ライセンス体系の仕組みと、セキュリティオプションについてご紹介します。

※2025年8月時点の情報です。
※機能アップデートに伴いセキュリティオプションの内容の更新が発生する場合がございます。
※Catoの契約は全てサブスクリプションライセンスです。最低契約期間が12ヶ月からとなります。

ライセンス体系

◇基本ライセンス

企業ネットワークやモバイルデバイスをCato SASE Cloudのグローバルバックボーンに接続するためのライセンスです。

①サイトライセンス（Site License）※必須ライセンス

物理的なオフィスやデーターセンターに加えIaaS（Azure、AWS、GCP等）などの拠点ネットワークからCato Cloudへ通信する帯域幅に応じて選択します。
契約帯域以上の通信が発生した場合はCato上の帯域制限の設定に従いパケットが破棄されます。
帯域幅は最小25Mbpsから最大10Gbpsの10段階のメニューから選択できます。（25Mbps、50Mbps、100Mbps、250Mbps、500Mbps、1,000Mbps、2,000Mbps、5,000Mbps、10,000Mbps）

サイトライセンスにはユーザーの導入方法に合わせてSASE（Secure Access Service Edge）とSSE（Secure Service Edge）、プールドライセンスの3種類のライセンスが用意されています。

・SASEライセンス
SWGやZTNA、CASBなどのセキュリティ機能に加えて、拠点間通信を最適化するSD-WANのネットワーク機能も包括的に備えたライセンスになります。
また追加オプションによりCatoの専用デバイスであるSocketが利用可能です。
※ESXi、IaaSに設置するvSocket（バーチャルアプライアンス）は無償です。

・SSEライセンス（SSE 360）
ネットワークセキュリティ機能に特化したライセンスでSASEライセンスよりネットワーク機能が制限されたライセンスになります。
Cato Cloudへの接続にSocketを利用せずルーターやファイアウォール等のネットワーク機器からIPsecを利用する場合に適用されます。
Socketが利用できませんがSASEライセンスに比べ安価です。

・プールドライセンス（Pooled License）
複数拠点に適用できる総帯域を一括で購入し各拠点に柔軟に割り当てるライセンスになります。
初期購入は最小100Mbps~の契約となり、各拠点には10Mbps~で割り当て可能です。

	SASEライセンス	SSEライセンス	プールドライセンス
接続方式	Socket/IPsec	IPsec	Socket/IPsec
適用拠点	1拠点	1拠点	複数拠点
最低帯域	25Mbps	25Mbps	100Mbps (各拠点には10Mbps)

・Socket（オプション）
Cato Networksの提供するエッジアプライアンスです。
Cato SASE CloudのPoPへのDTLSを利用したトンネル接続の他に以下の様々な機能を提供します。
・自動PoP接続（固定も可能）
・ファームウェア自動更新
・アウトバウンド方向の通信（固定Global IP不要）
・A/A、A/Pの回線利用、ダイナミック経路選択
・アプリケーションやユーザー別のQoS
・パケットロス補完
・VRRPによる冗長構成（2台構成）
等

物理アプライアンスはX1500、X1600（X1600 LTE）、X1700の4モデルが展開されており、それぞれ最大スループットが異なるため、基本的には契約する帯域ライセンス（スループット）に合わせてサイジングします。
またご要件に合わせてSIMによるインターネット接続が可能なX1600 LTEがご利用いただけます。（別途SIMの用意が必要）

仮想アプライアンス（vSocket）も用意されており、ESXiやIaaS（Azure、AWS、GCP）の環境にも展開が可能です。

※SASEライセンスのみ利用可能
※Socketはサブスクリプション
※仮想アプライアンス（vsocket）は無償
※X1500/X1600はラックマウントオプションもあり（買い切り）

②モバイルライセンス

モバイルユーザー向けのZTNA（Zero Trust Networks Access）ライセンスです。
ユーザーはPCやスマートフォン、タブレットにCato Client（エージェントソフト）をインストールし、モバイルライセンスを利用しCato Cloudに接続できます。
またモバイルライセンスはサイトライセンスとは異なり帯域の制限がございません。

ライセンスの契約は最小10ユーザー~となります。
また1ユーザーにつき3デバイスまで利用可能です。

◇セキュリティオプション

Catoでは標準機能として提供しているFWaaS、SWG、SD-WAN、ZTNAの他に様々セキュリティ機能のオプションライセンスを用意しています。

	料金	概要
ファイアウォール	標準	インターネット、拠点間、リモートユーザーへの通信制御
Webフィルタ （TLSインスペクション）	標準	インターネットサイトへのWebフィルタ、カテゴリフィルタ、URLフィルタ、アプリケーションフィルタなど
TP （Threat Prevention）	オプション	アンチマルウェア：既知のマルウェア防御（AM）および未知のマルウェア防御（NG-AM）を提供 IPS：アウトバウンド、インバウンド通信の脅威を検知/ブロック DNSプロテクション：
ATP （Advanced Threat Prevention）	オプション	Threat Prevention（AM/NG-AM/IPS）に追加して以下のセキュリティオプションを含む RBI: リモートブラウザアイソレーション Cloud Sandbox: クラウドサンドボックス機能
CASB	オプション	パブリックなSaaSアクセスのアクティビティを制御 （In-Line CASB）
DLP	オプション	ファイルにおける情報漏えいを防止する機能（日本語対応） ※CASBが必須
Data Security API （旧SaaS Security API）	オプション	対応可能なSaaSに対してのAPIによる監視と制御 ※DLPが必須
DEM （Digital Experience Monitor）	オプション	ユーザーやサイトのユーザーエクスペリエンスの監視、モニタリング
IOT/OT （Device Inventory）	オプション	IoT/OTデバイス用のデバイスプロファイリング、セキュリティシグネチャ（Socketサイトのみ）
XOps	オプション	未知の脅威検出やThreat Huntingなどの高度な予測、相関分析　 ※TPが必須
EPP	オプション	エンドユーザーデバイス（Windows, macOS）のEPP対策
Data Lake Storage	オプション	Catoのログをストレージ機能を拡張（ログ受信量、保存期間）

①Threat Prevention

Cato Cloudのインターネット、WANの通信を検査し悪意のあるファイル、危険な通信を検出・ブロックする脅威防御エンジンが利用できます。
このオプションにはアンチマルウェアとIPS、DNSプロテクションの機能が含まれています。

・アンチマルウェア

インターネット通信、拠点間通信、リモートアクセス通信をスキャンしマルウェアを検出・ブロックする機能です。
HTTP、HTTPS、FTPのプロトコルに対応しています。
以下の2種類の検出エンジンを利用できます。
　- Anti-Malware：既知のマルウェア対策（シグネチャベースのマルウェア検知エンジン）
　- NG Anti-Malware：未知のマルウェア対策（AIおよびマシンラーニングを活用した検知エンジン）

・IPS

全ての通信をリアルタイムで監視し悪意のある通信を検出・ブロックする機能です。
シグネチャの追加、ルール調整、誤検知・過検知チューニング等が不要で、管理者の運用負荷を少なくご利用できます。
IPSは以下のレイヤーで通信を保護します。

　- レピュテーション分析：インバウンド、アウトバウンドにおける脅威リソースからの保護
　- 既知の脆弱性：CVEからの脆弱性情報、新しい脅威に対する対策の迅速な適用
　- アンチボット：C&Cサーバーへの不正通信の対策、レピュテーションのフィードなど
　- ネットワーク振る舞い分析：ネットワークスキャンなどの対策、保護
　- プロトコルの正当性確認：不正なパケットからの保護、アタックサーフェスの保護
　- 地理的な制御：Geoロケーションベース（IP）、特定の国からの通信保護など

・DNSプロテクション

IPS機能の一つでDNSリクエストを検査し、悪意のあるリクエストをブロックします。
DNSプロテクションは以下の項目を保護します。

　- 悪意のあるドメイン：マルウェアや不正ボットが C&C コントローラーや攻撃インフラに接続するために使用するドメインをブロック
　- 新規登録ドメイン： 登録から14日以内のドメインを対象にマルウェアの回避行動を防ぐ
　- コマンド＆コントロール (C&C) ：マルウェア制御用ドメインでの通信を遮断し不正通信をブロック
　- ドメイン生成アルゴリズム ：マルウェアが自動生成する大量のドメインを機械学習で識別・ブロック
　- フィッシング： フィッシング活動に使用される危険性のあるドメインを識別・ブロック
　- トンネリング：DNSプロトコルを悪用したデータ転送の悪用を識別・ブロック
　- クリプトマイナー： 暗号通貨マイニングに関連するドメインを識別・ブロック
　- ダイナミックDNS：ダイナミックDNSプロバイダの一部であり、マルウェアが通信経路として使用するドメインを識別・ブロック

②Advanced Threat Prevention

Threat Preventionの上位ライセンスでアンチマルウェア、IPSに加えて以下の機能が利用できます。

・RBI（Remote Browser Isolation）

危険なWebサイトへのアクセスを安全に隔離し、ユーザーのブラウザにピクセルのみを表示・ストリームすることで多様なブラウザベースの脅威から保護します。
接続したサイト内での文字入力やアップロード/ダウンロードの禁止など高度な制御が可能です。
RBIにより制御できる対象カテゴリはCatoで未分類、信頼できないと定義されたカテゴリのサイトです。

・Sandbox

隔離された仮想環境（Windows 10ベース）で疑わしいファイルを実行・解析し、ネットワークやユーザーにリスクを与えず、ファイルの動作を検査する機能です。
自動検出されたファイルに加え、管理者が手動でアップロードしたファイルを検査する事も可能です。
検査した内容はレポートとしてエクスポートできます。
リアルタイム検出に利用される機能ではなく、フォレンジック分析を目的とした用途で利用します。

③CASB（Cloud Access Secuiry Broker）

ユーザーが利用しているSaaSを可視化、評価、制御、保護する機能です。
CatoのクラウドネイティブのアーキテクチャとTLSインスペクション（標準機能）により、ユーザーのトラフィックをリアルタイムで解析・可視化しシャドーITの利用を発見します。
またユーザーによるSaaSの利用を操作（アクティビティ）単位で制御することで、アプリケーションテナントと情報漏洩やゼロトラストなアクセス制御が可能で。

④DLP（Data Leak Protection）

ユーザーがインターネット、SaaSを利用する際に機密情報の漏洩を防止する機能です。
ユーザーがクラウドにダウンロード・アップロードするファイルやメッセージを検査し、情報漏洩リスクのあるデータを保護できます。
検出プロファイルとして事前定義されたプリセットデータ（クレジットカード、個人情報（PII）等）やユーザーが正規表現、キーワード、辞書などでカスタム定義したデータを使用できます。

⑤Data API Protection（旧称：SaaS Security API）

CASBやDLPなどのインライン制御とは異なり、SaaSへの帯域外（アウトバウンド）の保護を行う機能です。
Cato CloudとSaaSがAPIコネクタ（SaaS内にインストール）経由で連携することで、Cato Cloudを必ずしも経由しないユーザー、インライン制御（TLSインスペクション）に依存しないSaaSアプリケーション通信に対してもアプリ内のアクティビティを可視化・制御できます。

サポート対象アプリは以下の通りです。（2025年7月時点）
・Box
・Google Drive & Gmail
・Microsoft Exchange / OneDrive / SharePoint
・Slack
・Dropbox
・Salesforce
・GitHub
・ServiceNow
・Workplace from Meta

⑥DEM（Digital Experience Monitoring）

ネットワークおよびSaaSアプリケーションの利用体験を可視化する機能です。
ユーザー端末からWi-Fi、LANゲートウェイ、ISP、クラウド/SaaSアプリまでの経路情報をユーザー、アプリ単位でモニタリングします。
Cato Clientにより端末のCPU負荷やWi-Fi電波強度などの環境情報を収集し、AIベースで体験スコアを計測します。
ユーザーの端末からアプリケーションまでの経路の各ポイントをスコアリングすることで、ユーザー体験を損ねている原因の調査が可能です。

⑦IOT/OT（Device Inventory）

ネットワークに接続されたデバイスを発見、監視、管理が可能になるライセンスです。
WANおよびOutboundのトラフィックを分析し、接続されたデバイスの検出し、デバイスタイプの識別・分類を行います。
MACアドレスが検出されたデバイスに対してファイアウォールのルールを適用できます。

⑧XOps

Catoが提供するXDRプラットフォームが利用できます。
セキュリティとネットワークの両方のオペレーションから、AIと自動化を活用して組織のネットワークを監視できるプラットフォームです。
膨大な量の生のセキュリティおよびネットワークイベントを、理解しやすく実用的な「ストーリー」に変換します。
複数の高度な相関エンジンがトラフィックデータを分析し特定の脅威活動やネットワーク問題の兆候を検出すると、CMAでストーリーを生成し問題の確認・調査に活用できます。

⑨EPP

エンドポイント保護ソリューションを利用するためのライセンスです。
SASEプラットフォームで提供されるネットワークセキュリティに加えて、エンドポイント（デバイス）レベルでの包括的なセキュリティ保護が可能になります。
EPPはAnti-Malware、Behavioral Analysis、Anti Exploitの3種類のエンジンで動作します。

⑩Data Lake Storage

Data LakeはCatoプラットフォームで記録されたイベントログ等のデータを格納するストレージシステムです。
Data Lakeはイベント情報などのデータをリアルタイムで追加し、顧客の契約で定義された特定の期間保持します。
各アカウントには無償で以下のData Lekeが提供されます。
・保持期間：3ケ月
・時間当たりのイベント：250万イベント/時間

保持期間は追加購入で3ヶ月、6ヶ月、12ヶ月単位で期間の延伸が可能です。
データレイクユニットを追加購入すると1時間当たりのイベント数を250万ずつ増やすことが可能です。

◆ライセンスグループ

Cato Cloudは契約するリージョンごとにライセンスの価格が異なり、Group1、Group2、特定地域（スタンドアローン）の3つに分かれています。
またCatoのサービス外のエリアとしてキューバ、イラン、イラク、リビア、北朝鮮、スーダン、レバノン、シリア、ウクライナ（クリミア）、ドネツク、ルハンスク、ヘルソン、ザポリージャ地域があります。

適用ライセンス	諸国
グループ1	アメリカ、ヨーロッパなど
グループ2	日本を含む旧APJ（東アジア、東南アジア）、アフリカ、中東、南米、オーストラリア、ニュージーランド
特定地域（スタンドアローン）	中国、ベトナム、モロッコ
サービス対象外エリア	キューバ、イラン、イラク、リビア、北朝鮮、スーダン、レバノン、シリア、ウクライナ（クリミア）、ドネツク、ルハンスク、ヘルソン、ザポリージャ地域

またスタンドアローン地域の帯域契約はグローバル/リージョナルと分かれており、それぞれで帯域を設定して契約が必要になります。
リージョナルは特定地域内で通信が完結する場合のライセンスです。
・同一リージョナル内の拠点間通信
・同一リージョナルから直接インターネット通信

グローバルは地域を跨いだ通信を行う場合のライセンスです。
・リージョナル外との拠点間通信
・リージョナル外のPoPを経由したインターネット通信

まとめ

Catoのライセンス体系は帯域ライセンス+ユーザーライセンスを基本として、他の必要に応じてセキュリティ機能を追加していくというシンプルな契約方法になります。
導入の際に検討が必要になる点は帯域ライセンス量ですが、ご利用の回線内の実測値をベースに決定していただく事で、帯域が不足することなく快適に通信をご利用いただけます。
回線の実測値はご契約されているプロバイダーに問い合わせる、ご利用機器の機能から調査する等でご確認できます。
また弊社からPoC環境のご提供も行っているため、実際にSocketを設置していただき帯域を計測いただく事も可能です。
導入を考えられているお客様は是非お問い合わせいただければと存じます。