
皆さん、こんにちは
今回はSASE市場でも注目されるCato Networksが2027年から新ライセンスの体系となるため、以前のブログで紹介した内容の変更点も含め改めて、基本のライセンス体系とオプション機能を紹介します。
前回のライセンス紹介の記事は以下をご参照ください。
【Cato Networks】ライセンス紹介
※2026年7月時点の情報です。
※機能アップデートに伴いセキュリティオプションの内容の更新が発生する場合がございます。
※Catoの契約は全てサブスクリプションライセンスです。最低契約期間が12ヶ月からとなります。
ライセンス体系
◇基本ライセンス(Base License)
企業ネットワークやモバイルデバイスをCato SASE Cloudのグローバルバックボーンに接続するためのライセンスです。
①Bandwidth Pool ✔︎ New
物理的なオフィスやデーターセンターに加えIaaS(Azure、AWS、GCP等)などの拠点ネットワークから、Cato Cloudへ通信する際に利用するライセンスです。
従来はサイトごとに帯域を購入するサイトライセンス(SASE、SSE360)と、一定量の帯域をまとめて購入しそれぞれサイトで利用するプールライセンスの2通りの方法でサイトからPoPへの接続をサポートしていましたが、新ライセンスではプール方式に一本化されました。
また従来のライセンス体系と異なり、拠点の通信をカバーするBandwidth Pool(旧サイトライセンス)は必須ライセンスでは無くなりました。
またBandwidth Poolには「Bursting」という仕組みがあります。
これは契約帯域を超えた通信を一時的に許容する仕組みであり、通信を停止させるのではなく月次の利用量として評価する方式です。
一方、超過利用を避けたい場合はSite Shaperを利用して契約容量内に収まるよう制御することも可能です。
・Bursting
Burstingは契約したBandwidth Pool容量を超える通信が発生した場合でも、通信を停止せず継続できる仕組みです。
例えば、1GbpsのBandwidth Poolを契約している環境で、一時的に1.2Gbpsや1.3Gbpsの通信が発生した場合でも、Cato Cloudはその通信を遮断しません。
利用量はP95方式で計測されるため、短時間のトラフィック増加は利用量評価に大きな影響を与えません。
その後、月次で通信量が計算され契約帯域と比較し、超過が確認された場合はOver Usageとして販売店・ユーザーに通知されます。
またOver Usageが確認された場合は、一時的な超過分を精算するTrue-Up、または将来の利用増加を見込んで契約容量を拡張するTrue-Forwardによって対応します。
※Burstingはリージョン Group1・Group2のみ対応
・Site Shaper
従来と同じく各サイトごとに利用できる最大帯域を設定し、契約したBandwidth Pool容量を超えないよう制御する機能です。
Burstingとは逆に「契約容量を超えない」ことを目的とした設定になります。
・Socket(オプション)
Cato Networksの提供するエッジアプライアンスです。
Cato SASE CloudのPoPへのDTLSを利用したトンネル接続の他に以下の様々な機能を提供します。
・自動PoP接続(固定も可能)
・ファームウェア自動更新
・アウトバウンド方向の通信(固定Global IP不要)
・A/A、A/Pの回線利用、ダイナミック経路選択
・アプリケーションやユーザー別のQoS
・パケットロス補完
・VRRPによる冗長構成(2台構成)
等
新ライセンス体系の意向に合わせて、従来のモデルに加え新たに物理アプライアンスが追加されます。
X1500、X1600、X1700の3モデルをベースに展開されており、それぞれ最大スループットが異なるためサイトの規模(利用帯域)に応じて、最適なモデルを選定できます。
またご要件に合わせてSIMによるインターネット接続が可能なX1600LTE、5Gモデル(別途ユーザー側でSIMの用意が必要)や、端末から無線での直接接続が可能なWiFiモデルがご利用いただけます。
仮想アプライアンス(vSocket)も用意されており、ESXiやIaaS(Azure、AWS、GCP)の環境にも展開が可能です。
※Socketはサブスクリプション
※仮想アプライアンス(vsocket)は無償
※X1500/X1600はラックマウントオプションもあり(買い切り)
②ZTNA User
モバイルユーザー向けのZTNA(Zero Trust Networks Access)ライセンスです。
ZTNA Usersはゼロトラストアクセス基盤の利用者数として管理されます。
月内に認証し実際に通信したユニークユーザー数が計測対象となり、計測はアカウント全体の総ユーザー数で評価します。
ライセンス数を超過するとOver Usageとして検知してユーザーに通知します。
Bandwidth Pool(旧サイトライセンス)が必須ライセンスではなくなったため、ZTNA User単体での利用が可能です。
ただし社内アプリケーションへアクセスする場合はZTNA Usersに加えてBandwidth Poolが必要になります。
◇オプションライセンス
Catoでは標準機能として提供しているFWaaS、SWG、SD-WAN、ZTNAの他に様々なセキュリティ・インサイトのオプションライセンスを用意しています。
新ライセンス体系では従来通りに個別にオプションを契約する個別サービス(単体購入)と、よく利用されるセキュリティ機能をまとめたパッケージ(バンドル)が選択できます。
またオプションライセンスはアカウント全体に適用されます。
Premium Security(セキュリティオプション)
〇パッケージライセンス
パッケージ内の各セキュリティ機能は個別購入にてご確認ください。
・Advanced Threat Prevention
以下のライセンスがバンドルされています。
- TP(Threat Prevention)
- RBI(Remote Browser Isolation)
- Sandbox
- Dynamic Threat Prevention
・App & Data Security ✔︎ New
以下のライセンスがバンドルされています。
- CASB
- DLP
〇個別ライセンス
従来ライセンスのData Protection API(旧SaaS Secuirty API)はCASB、DLPライセンスに統合されました。
・Threat Prevention
Cato Cloudのインターネット、WANの通信を検査し悪意のあるファイル、危険な通信を検出・ブロックする脅威防御エンジンが利用できます。
このオプションにはアンチマルウェアとIPS、DNSプロテクションの機能が含まれています。
・アンチマルウェア
インターネット通信、拠点間通信、リモートアクセス通信をスキャンしマルウェアを検出・ブロックする機能です。
HTTP、HTTPS、FTPのプロトコルに対応しています。
以下の2種類の検出エンジンを利用できます。
- Anti-Malware:既知のマルウェア対策(シグネチャベースのマルウェア検知エンジン)
- NG Anti-Malware:未知のマルウェア対策(AIおよびマシンラーニングを活用した検知エンジン)
・IPS
全ての通信をリアルタイムで監視し悪意のある通信を検出・ブロックする機能です。
シグネチャの追加、ルール調整、誤検知・過検知チューニング等が不要で、管理者の運用負荷を少なくご利用できます。
IPSは以下のレイヤーで通信を保護します。
- レピュテーション分析:インバウンド、アウトバウンドにおける脅威リソースからの保護
- 既知の脆弱性:CVEからの脆弱性情報、新しい脅威に対する対策の迅速な適用
- アンチボット:C&Cサーバーへの不正通信の対策、レピュテーションのフィードなど
- ネットワーク振る舞い分析:ネットワークスキャンなどの対策、保護
- プロトコルの正当性確認:不正なパケットからの保護、アタックサーフェスの保護
- 地理的な制御:Geoロケーションベース(IP)、特定の国からの通信保護など
・DNSプロテクション
IPS機能の一つでDNSリクエストを検査し、悪意のあるリクエストをブロックします。
DNSプロテクションは以下の項目を保護します。
- 悪意のあるドメイン:マルウェアや不正ボットが C&C コントローラーや攻撃インフラに接続するために使用するドメインをブロック
- 新規登録ドメイン: 登録から14日以内のドメインを対象にマルウェアの回避行動を防ぐ
- コマンド&コントロール (C&C) :マルウェア制御用ドメインでの通信を遮断し不正通信をブロック
- ドメイン生成アルゴリズム :マルウェアが自動生成する大量のドメインを機械学習で識別・ブロック
- フィッシング: フィッシング活動に使用される危険性のあるドメインを識別・ブロック
- トンネリング:DNSプロトコルを悪用したデータ転送の悪用を識別・ブロック
- クリプトマイナー: 暗号通貨マイニングに関連するドメインを識別・ブロック
- ダイナミックDNS:ダイナミックDNSプロバイダの一部であり、マルウェアが通信経路として使用するドメインを識別・ブロック
・CASB(Cloud Access Secuiry Broker)
ユーザーが利用しているSaaSを可視化、評価、制御、保護する機能です。
CatoのクラウドネイティブのアーキテクチャとTLSインスペクション(標準機能)により、ユーザーのトラフィックをリアルタイムで解析・可視化しシャドーITの利用を発見します。
またユーザーによるSaaSの利用を操作(アクティビティ)単位で制御することで、アプリケーションテナントと情報漏洩やゼロトラストなアクセス制御が可能です。
またCatoを経由しないOut-of-bandのSaaS通信については、対応SaaSにコネクターを設置する事でSaaSアプリケーションに対するユーザーのアクティビティを可視化・制御できます。
・DLP(Data Leak Protection)
ユーザーがインターネット、SaaSを利用する際に機密情報の漏洩を防止する機能です。
ユーザーがクラウドにダウンロード・アップロードするファイルやメッセージを検査し、情報漏洩リスクのあるデータを保護できます。
検出プロファイルとして事前定義されたプリセットデータ(クレジットカード、個人情報(PII)等)やユーザーが正規表現、キーワード、辞書などでカスタム定義したデータを使用できます。
またCASBと同様に、対応SaaSにコネクターを設置する事でSaaSアプリケーションに対するユーザーのアクティビティを可視化・制御できます。(旧SaaS Secuirty APIライセンスの機能)
・Asset Security(旧IoT/OTセキュリティ)
ネットワークに接続されたデバイスを発見、監視、管理が可能になるライセンスです。
WANおよびOutboundのトラフィックを分析し、接続されたデバイスの検出し、デバイスタイプの識別・分類を行います。
MACアドレスが検出されたデバイスに対してファイアウォールのルールを適用できます。
・EPP
エンドポイント保護ソリューションを利用するためのライセンスです。
SASEプラットフォームで提供されるネットワークセキュリティに加えて、エンドポイント(デバイス)レベルでの包括的なセキュリティ保護が可能になります。
EPPはAnti-Malware、Behavioral Analysis、Anti Exploitの3種類のエンジンで動作します。
・AI Security for Application ✔︎ New
従業員によるSaaS AIサービスの利用を可視化し、安全に活用するためのAIセキュリティ機能です。
ChatGPTやMicrosoft CopilotなどのSaaS AIサービスへのアクセス状況を把握できるだけでなく、機密情報の入力制御やポリシー違反の検知・制御が可能です。
Cato ClientやEnterprise Browser、Browser Extensionを利用し、場所やデバイスを問わず一貫したポリシーを適用できるため、利便性を損なうことなく企業全体のAIガバナンスを実現します。
・AI Security for Application ✔︎ New
AI Application、AI Agentを対象に、セキュリティとガバナンスを提供する機能です。
AI Application向けには、AI GatewayやModel Proxyを介したランタイム保護を提供し、AIモデルへの不正なプロンプトやプロンプトインジェクション、機密情報の漏えいなど、AI特有の脅威からアプリケーションを保護します。
一方、AI Agent向けには、エージェントが外部システムやAPIと連携しながら自律的にタスクを実行する環境において、安全な通信経路の確保やアクセス制御、実行状況の監視などを支援します。
これにより企業はAIアプリケーションだけでなく、今後普及が見込まれるAIエージェントについても、統一されたセキュリティポリシーのもとで安心して運用できるようになります。
Insights(可視化ライセンス)
・DEM(Digital Experience Monitoring)
ネットワークおよびSaaSアプリケーションの利用体験を可視化する機能です。
ユーザー端末からWi-Fi、LANゲートウェイ、ISP、クラウド/SaaSアプリまでの経路情報をユーザー、アプリ単位でモニタリングします。
Cato Clientにより端末のCPU負荷やWi-Fi電波強度などの環境情報を収集し、AIベースで体験スコアを計測します。
ユーザーの端末からアプリケーションまでの経路の各ポイントをスコアリングすることで、ユーザー体験を損ねている原因の調査が可能です。
・XOps
Catoが提供するXDRプラットフォームが利用できます。
セキュリティとネットワークの両方のオペレーションから、AIと自動化を活用して組織のネットワークを監視できるプラットフォームです。
膨大な量の生のセキュリティおよびネットワークイベントを、理解しやすく実用的な「ストーリー」に変換します。
複数の高度な相関エンジンがトラフィックデータを分析し特定の脅威活動やネットワーク問題の兆候を検出すると、CMAでストーリーを生成し問題の確認・調査に活用できます。
その他のライセンス
・Data Lake Storage
Data LakeはCatoプラットフォームで記録されたイベントログ等のデータを格納するストレージシステムです。
Data Lakeはイベント情報などのデータをリアルタイムで追加し、顧客の契約で定義された特定の期間保持します。
各アカウントには無償で以下のData Lekeが提供されます。
・保持期間:3ケ月
・時間当たりのイベント:250万イベント/時間
保持期間は追加購入で3ヶ月、6ヶ月、12ヶ月単位で期間の延伸が可能です。
データレイクユニットを追加購入すると1時間当たりのイベント数を250万ずつ増やすことが可能です。
◇ライセンスグループ
Cato Cloudは契約するリージョンごとにライセンスの価格が異なり、Group1、Group2、特定地域(スタンドアローン)の3つに分かれています。
またCatoのサービス外のエリアとしてキューバ、イラン、イラク、リビア、北朝鮮、スーダン、レバノン、シリア、ウクライナ(クリミア)、ドネツク、ルハンスク、ヘルソン、ザポリージャ地域があります。
| 適用ライセンス | 諸国 |
| Group1 | アメリカ、ヨーロッパなど |
| Group2 | 日本を含む旧APJ(東アジア、東南アジア)、アフリカ、中東、南米、オーストラリア、ニュージーランド |
| 特定地域(スタンドアローン) | 中国、ベトナム、モロッコ |
| サービス対象外エリア | キューバ、イラン、イラク、リビア、北朝鮮、スーダン、レバノン、シリア、ウクライナ(クリミア)、ドネツク、ルハンスク、ヘルソン、ザポリージャ地域 |
またスタンドアローン地域の帯域契約はグローバル/リージョナルと分かれており、それぞれで帯域を設定して契約が必要になります。
リージョナルは特定地域内で通信が完結する場合のライセンスです。
・同一リージョナル内の拠点間通信
・同一リージョナルから直接インターネット通信
グローバルは地域を跨いだ通信を行う場合のライセンスです。
・リージョナル外との拠点間通信
・リージョナル外のPoPを経由したインターネット通信![]()
まとめ
大きな変更点として、基本ライセンスであったサイトライセンスがPooledライセンスの形式に統一されました。
ただし「Bandwidth Pool」という名称自体は新しいものですが、帯域を複数拠点で共有するという考え方は従来のPooledライセンスから大きく変わっていません。
ここに「Bursting」やという仕組みが加わった事で、以前より「ユーザーの実利用帯域を中心にライセンスを設計する」考え方にライセンス体系が整理されました。
またZTNAユーザーについても、単独での購入が可能となったため、リモート端末のゼロトラストアクセスを中心とするSSEとしての導入がしやすくなりました。
これにより必要なセキュリティ機能を導入し、将来的にSASEへ拡張する段階的な導入が可能です。
新ライセンスモデルは2026年7月からEarly Availability(EA)として提供開始され、2027年1月から新規・更新案件に適用されます。
2027年以降はこの新ライセンスモデルが標準となるため、これからCatoの導入をご検討されるお客様や、既存環境の更新をご予定のお客様は、新しいライセンス体系を踏めた設計やサイジングが重要になります。
Cato Networksの新ライセンスモデルについてご不明な点がございましたら、お気軽にSB C&Sまでお問い合わせください。
Catoの情報はこちら
著者紹介
SB C&S株式会社
Cato Tech Team
SB C&SでCato Networksのために結成されたスペシャルチームです。
Catoだけでなく、日本国内でSASE普及のために、各種SASE製品とCatoに関して日々業務に携わっています。
製品選定、製品検証、案件のご支援、運用トラブル対応など対応が可能なチームです。
