Cato SASEクラウドプラットフォームの機能

Cato SASEは、企業のすべての拠点、ユーザー、アプリケーション、クラウドをグローバル、セキュア、かつクラウドネイティブなプラットフォームに最適かつ安全な形で接続します。Catoを段階的に導入し、セキュリティ用のポイントソリューションやレガシーネットワークサービスと入れ替えていくことができます。

接続
- クラウドネットワーク
- クラウドオンランプ
保護
- ネットワークセキュリティ
- エンドポイントセキュリティ
検知
- インシデントライフサイクル管理
運用
- 管理とAPI
Try Us

すべてをつなぐ

Cato SASEは、企業のすべてのトラフィック、WAN、インターネット、クラウドを一貫性のある、最適化されたレジリエントなクラウドネットワークに集約します。Catoではクラウドオンランプ（クラウドへの最速経路）を幅広く提供しており、拠点、エンドユーザー、クラウドデータセンターをクラウドネットワークに簡単に接続できます。

一貫性のある最適化されたクラウドネットワーク

グローバルプライベートバックボーン

CatoのSLA（サービス品質保証）付きグローバルプライベートバックボーンが、グローバルなクラウドネットワークの基盤となります。バックボーンは、高密度で配置された物理的なポイントオブプレゼンス（PoP）で構成されており、PoPは各地域の最上位ティアのデータセンターに置かれ、グローバルおよび地域の複数の通信事業者と相互接続されています。バックボーンは、基盤となる一貫性と予測可能性に優れたネットワークトランスポートを通じて、完全に暗号化されたSLA付きのグローバルコネクティビティを実現する設計になっています。ネットワークエンジニアリングと運用に関するCatoの深い専門知識により、ホスティングプロバイダーと通信事業者の選択とバックボーンへの統合が最適な形で行われます。

グローバルトラフィックの最適化

Catoは、バックボーンを通るすべてのトラフィックに最適化と高速化を施し、アプリケーションのパフォーマンスとユーザー体験を向上させます。すべてのユーザーと拠点がバックボーンの機能の恩恵を確実に受けられるよう、各エッジからそれぞれの送信先（オンプレミスおよびクラウド）に向かうすべてのトラフィックが最適化されます。こうした設計により、Catoは遅延が問題になる音声、映像、トランザクション、レガシーアプリケーションなどのトラフィックにも対応し、ユーザーの生産性を最大化します。SaaSのトラフィックに関しては、Catoがアプリケーショントラフィックのルーティングを詳細に制御し、バックボーンを通じてアプリケーションインスタンスの最寄りのPoPにトラフィックを送信します。

クラウドオンランプ

Cato Socket – 物理的拠点向けSD-WANデバイス

Cato Socketは、本格的なSD-WANソリューションで、リンク（伝送路）の枠を越えたアクセスレジリエンシー、アプリケーションに応じたサービス品質、そしてローカルおよびグローバルのコネクティビティとフェイルオーバーシナリオに対応する高可用性の自動確保を実現します。Cato Socketは、1つまたは複数のラストマイル回線を介して物理的拠点を最寄りのCato PoPにつなぎ、お客様は光ファイバー、ケーブル、xDSL、モバイル回線を自由に選んで組み合わせることができます。Cato Socketは、アクティブ/アクティブ構成のリンクアグリゲーション、アプリケーションとユーザーに応じたQoSの優先度設定、回線のブラックアウトやブラウンアウトを回避する動的な経路選択、パケットロスに対応するパケット複製といったさまざまなトラフィック管理機能を適用します。また、サイト間のトラフィックをMPLSやインターネット経由でルーティング可能で、段階的なネットワークの移行やアプリケーション固有の要件に対応します。

Catoのクライアント型/クライアントレス型アクセス

Catoは、Windows、Mac、iOS、Android、Linux向けのエンドポイントクライアントを提供しています。これにより、Cato SSE 360セキュリティスタックの継続的な検査・制御のもと、プライベートアプリケーションへの安全かつ最適なリモートアクセスが可能になります。Cato Clientは、Cato Management Applicationによってシームレスに管理されたEPP/EDRエンジンを通じて、エンドポイントのセキュリティをさらに強化します。なお、外部請負業者など、クライアントをデプロイできないユーザーは、セキュアなWebポータルを通じたクライアントレス型のアクセスを利用できます。

クロス接続、仮想SD-WANデバイス、クラウドIPSec

Catoでは、クラウドデータセンターとCato SASEクラウドプラットフォームの接続オプションを複数提供しています。例えば、クラウドデータセンターにデプロイ可能な仮想SD-WANデバイスのCato vSocket、クラウドプロバイダーからCato PoPへの直接クロス接続、Cato PoPとクラウドプロバイダーのデータセンターVPNエッジとの間のIPSecトンネルの作成、といったオプションがあります。

あらゆるIPSec対応デバイスが利用可能

ルーターやエッジファイアウォールなど、既存のIPSec対応デバイスを利用して、物理的拠点から最寄りのCato PoPにトラフィックを転送できます。CatoのSD-WAN機能は適用されない一方、Catoのクラウドファーストなアーキテクチャの恩恵を受けることは可能で、最適化されたクラウドネットワークやクラウド配信型セキュリティサービスを提供するCato SASEクラウドプラットフォームにより、トラフィックが完全に保護され、最適化されます。

あらゆる場所を守る

Catoは、フルセキュリティスタックのSSE 360をクラウドプラットフォームに組み込み、すべての場所とユーザーを対象に分散化、スケーリング、レジリエンシー、統一的なセキュリティポリシーの適用を実現します。また、Catoの保護機能は、エンドツーエンドで脅威の防御や検出を行うため、エンドポイントも対象となっています。

ネットワークセキュリティ

SSE 360 – SaaS（Security as a Service）

Cato SASEクラウドプラットフォームには、クラウドネイティブなセキュリティスタック、SSE 360が含まれています。Catoのシングルパスクラウドエンジン（SPACE）アーキテクチャがベースとなっており、以下の機能が統合されています：ネットワークセグメンテーションとゼロトラスト（FWaaS）、脅威防御（SWG、IPS、NGAM、DNSセキュリティ、RBI）、アプリケーションとデータの保護（CASB、DLP、ZTNA）。SSE 360は、企業の全トラフィックを復号化して検査する仕組みになっており、アプライアンスやその他のポイントソリューションのサイジング、パッチ適用、アップグレードは不要です。セキュリティポリシーとイベントの分析は、Cato Management Applicationを使って一元的に、一貫性のある形で管理されます。

White Paper Cato SS… Cat…

ネットワークセグメンテーションとゼロトラスト

CatoのSSE 360の最も基本的なセキュリティ機能が、Firewall as a Service（FWaaS）です。FWaaSは、すべてのポートとプロトコルを対象に、すべての方向、すなわちWAN（東西）とインターネット（南北）の両方でトラフィックの流れを制御します。ネットワークのセグメント化にはファイアウォールポリシーが使用され、ネットワークリソース（VLANなど）や、アイデンティティ、組織単位、アプリケーション、サービスなどの論理要素が基準となります。ネットワークセグメンテーションと継続的なトラフィック検査を組み合わせることで、ゼロトラストのセキュリティポスチャを維持することが可能になります。

脅威に対する多層防御

Catoは、脅威に対する多層防御の機能を実装しています。セキュアWebゲートウェイ（SWG）は、リスクのあるWebサイトやフィッシング攻撃、マルウェアの送信からユーザーを守ります。Intrusion Prevention System（IPS）は、脅威インテリジェンスフィード、AI/MLによるインライン制御、そしてアイデンティティ、ネットワーク、アプリケーション、データ属性などの詳細なコンテキストを活用する深層ヒューリスティック検知に基づき、悪質なトラフィックを検出して遮断します。次世代アンチマルウェア（NGAM）エンジンは、すべてのペイロードを検査し、感染源の流入を防ぎます。DNSセキュリティは、DNSのクエリと応答を調べることでDNSトンネリングを防止し、フィッシング攻撃、悪質なドメイン、マルウェアを含むコミュニケーション、その他DNSベースの脅威ベクトルを遮断します。Remote Browser Isolation（RBI）は、高リスクなWebサイトへのトラフィックを、クラウドベースのブラウザセッションに分離し、エンドポイントの侵害のリスクを最小化することで、ユーザー保護機能を強化します。

アプリケーションとデータの保護

Catoは、SaaS APIによる連携を通じて、インラインとアウトバウンドの両方で、アプリケーションへのアクセス制御を実施し、すべてのアクセスでデータを保護します。CatoのCloud Access Security Broker（CASB）は、認可と未認可（「シャドーIT」）の両方のアプリケーションの利用状況を広範に可視化する機能と、アプリケーション、ユーザー、デバイスのリスクに基づきアクセスポリシーを適用する機能を提供します。Data Loss Prevention（DLP）エンジンは、会社所有デバイスおよびBYODデバイスからオンプレミスおよびクラウドの送信先へと送られる機密データについて、アクセスポリシーを適用し、詳細なアクションを実行します。

エンドポイントセキュリティ

エンドポイント用Cato Client

Catoは、Cato Clientを利用して、アクセス制御とエンドポイントの保護、検出、およびユーザーデバイスに対する応答を強化します。Cato Clientは、すべての主要OSで利用でき、ITソフトウェアの配布、またはセルフサービス型のデプロイを通じて提供されます。Cato Clientは、エンドポイントトラフィックの詳細な管理機能を提供し、Catoを利用しているWANおよびインターネットのトラフィックを選択的に制御できます。また、always-on（常にオン）モードにも対応し、企業エンドポイントを確実かつ継続的に保護します。

ハイブリッドワークとリモートワーク

Cato ClientのUniversal Zero Trust Network Access（ZTNA）機能により、事業所内、移動中、および自宅において、リスクを基準とした組織のアプリケーションアクセスポリシーを適用できます。CatoのZTNAは、広範なデバイスのポスチャ分析機能やアイデンティティプロバイダーとの連携機能を提供するもので、アプリケーションへのアクセスが許可される前に、そしてセッション全体を通じて、完全な認証と会社ポリシーの遵守を実現します。ユーザーが接続すると、Cato SSE 360がすべてのトラフィックを継続的に検査し、脅威に対する防御とデータの保護を実行します。

エンドポイントの保護、検出、応答

Cato Clientには、エンドポイントの保護、検出、応答（EPP/EDR）機能が含まれています。お客様は、悪質なファイルの検出とデバイス上の疑わしいアクティビティの関連付けを行う次世代アンチマルウェアエンジンを利用して、エンドポイント自体を保護することができます。Cato Clientは、エンドポイントのリスク関連のコンテキストとイベントをクラウドベースのデータレイクに送信します。Cato SSE 360エンジンが提供する詳細なネットワークコンテキストとの関連付けが行われ、Cato XDRがエンドポイントとネットワークドメインの枠を越えて、セキュリティインシデントの正確な状況を可視化します。

隠れた情報を明らかに

Catoは、ネットワーク、セキュリティ、エンドポイントに関する詳細なコンテキストとイベントを活用し、脅威の検知・調査・対応（TDIR）の完全なライフサイクル管理を可能にします。

インシデントライフサイクル管理

AI/ML駆動型のインシデント検知

Catoは、ネットワーク、セキュリティ、エンドポイントのイベントに関する詳細なデータセット、AI/MLによる確かな異常・脅威検知機能、インシデント分析・対応ツールを活用し、完全なXDRソリューションを提供します。Catoは、クラウドネットワークとCato Client、ならびにMicrosoft Defender for EndpointsやCrowdStrikeなどのサードパーティEPP/EDRソリューションにより生成されたインシデントデータを、クラウドベースの統合データレイクに集約します。このデータは、脅威ハンティング、ユーザー行動分析、ネットワーク劣化検知を目的としたCatoのアルゴリズムによって解析され、追加の確認が必要なインシデントが特定されて、優先度が設定されます。Cato XDRは、正確性とインシデントの優先度設定を改善するために、複数のお客様のネットワークで検出された類似のインシデントに基づき、独自のインサイトと推奨事項を生成します。

AI支援型のインシデント調査・対応

Catoは、インシデント検知エンジンと生成AIを統合することで、人間が読める形の「インシデントストーリー」を生成します。インシデントストーリーは、アナリストワークベンチから入手できます。ワークベンチを利用することで、アナリストはインシデントの詳細にアクセスし、類似インシデントのインサイトに基づきAIが生成した分析内容を参照し、インシデントの解決作業を共同で行い、インシデント発生期間中の関連アクティビティを調査することができます。Cato XDRにより、お客様およびパートナー企業は、定評ある調査・対応機能を活用できます。この調査・対応機能は、マネージド型脅威検知＆対応（MDR）サービスを2019年から提供しているCatoのアナリストによって既に利用されています。

マネージド型の脅威検知＆対応サービス

インシデント検知・対応のスペシャリストとの連携をご希望のお客様には、Catoおよびパートナー企業がマネージドサービスを提供しています。当サービスには、タイムリーな脅威検知、推奨される修復アクション、そしてオプションで予防的な措置が含まれます。CatoのMXDRは、侵害を受けたエンドポイントを早期に検出して脅威の滞留時間（dwell time）を最小化することで、データ侵害の可能性を減らし、複雑で時間がかかるITセキュリティチームの作業を取り除くことができます。

スムーズな運用

管理、分析、統合

Cato Management Application：管理を一元化

Cato SASEクラウドプラットフォームは、Cato Management Applicationを通じて管理され、すべてのポリシーの構成、ネットワークとセキュリティに関するアナリティクス、リアルタイムの監視・トラブルシューティングが一元化されています。Catoは、クラウド型管理プラットフォームをスケーリングし、膨大な量のデータを保存・処理するほか、お客様側のインフラストラクチャーで生成されたすべてのイベントデータにアクセスして調査を行うための高性能インターフェースを提供します。現在および将来的に提供されるCatoの機能はすべて同じ方法で管理され、ITチームによる採用が容易となり、新機能をいち早く業務で利用できるようになります。

CatoユニバーサルAPIとサードパーティとの連携

Cato APIを利用することで、構成と分析の自動化や、サードパーティシステムとのデータ共有および連携が可能になります。APIを利用することで、お客様はCatoのデータレイクから指定したイベントを抽出し、外部のデータストアに供給することで、より詳細なレポート作成や分析を行うことができます。また、APIによってCatoプラットフォーム内のポリシー、ユーザー、サイト、その他オブジェクトの作成を自動化して、リソースのプロビジョニングを効率化することができます。Catoは、セキュリティ分析、企業のワークフロー管理、チケット管理を目的として、さまざまなサードパーティシステムとの正式な機能連携を定期的にリリースしています。

真のSASEプラットフォームの戦略的メリット

真にクラウドネイティブなSASEプラットフォームとして、ゼロからアーキテクチャの構築が行われたCatoのセキュリティ機能はすべて、現在も将来においても、Catoプラットフォームの特徴であるグローバルな分散化、抜群のスケーラビリティ、高度なレジリエンシー、自律的なライフサイクル管理、そして一貫性のある管理モデルを活用します。

一貫性のある ポリシー適用

Catoは、すべてのセキュリティ機能をグローバルに拡張し、非常に大規模なデータセンターからユーザーの各デバイスまで、すべての場所と人を対象に一貫性のあるポリシー適用を実現します。

スケーラブルでレジリエントな保護機能

Catoは、TLS通信の完全な復号化が可能で、スケーリングにより、すべてのセキュリティ機能においてマルチギガのトラフィックストリームを検査できます。また、サービスコンポーネントの不具合から自動的に回復し、継続的なセキュリティ保護を実現できます。

自律的なライフサイクル管理

Catoは、すべてのユーザーと拠点を対象に、お客様の関与なしでSASEクラウドプラットフォームが最適なセキュリティポスチャを維持し、99.999%のサービス稼働率と低遅延のセキュリティ処理を実現できるよう万全を期しています。

管理を一元化

Catoなら、構成、アナリティクス、トラブルシューティング、インシデント検知・対応など、セキュリティとネットワークに関するすべての機能を一元的に、一貫性のある形で管理できます。統一的な管理モデルにより、ITチームおよび業務において簡単に新機能を導入できます。

Cato SASEクラウドがもたらす
カスタマーサクセス

Catoは、シームレスに維持・最適化されたグローバルかつクラウドネイティブなプラットフォームを使って、ITインフラストラクチャーの所有権モデルに変化をもたらします。Catoのプラットフォームを利用することで、自社の期間と予算に合わせて、業務で必要なネットワークとセキュリティの機能を容易に導入することができます。