国産SASE VeronaとCatoクラウドを比較してみた

いつもご覧いただきありがとうございます。

この記事は、国産SASEである網屋（AMIYA）さんの フルマネージドSASE Verona （ヴェローナ）の説明資料をもとにして、Cato Networks社 の Catoクラウド（Cato Cloud/Cato SASE Cloud）との機能面やコストなどを"独断と偏見で"比較したものになります。

Verona のPDF資料は以下になります（比較時Ver.10.0）
https://www.amiya.co.jp/docs/products/nac/pdf/verona_sase.pdf

Veronaは、"フルマネージドSASE" の名前の通り網屋さん自身がマネージドサービスも含めてサービス提供しているものです。
一方で、Catoクラウドについては、Cato Networks社自身は、一部のマネージドサービス（MDR、ILMMなど）はサービス提供していますが、導入や運用保守はCato Networks社自身では提供しておらず、Catoクラウドのパートナーがサービスの提供を行っていますので、Catoクラウドのパートナーである当社で実施している導入サービスやマネージドサービスを前提として比較を行っています。

【注意】最初に、中堅・中小企業の方がSASEを検討する際に、Catoクラウド以外の他の海外 SASE 製品（Palo Alto Networks社 Prisma Access、Netskopeなど）を見て、最小契約数やコストで諦めてしまう方も多いのですが、Cato Networks社 Catoクラウドはそんなことはありません。
Catoクラウドの最小構成は、1拠点（25Mbps）と、モバイルユーザ10名～となっており、コストは、月額 54,000円（定価）となりますので、ぜひ中堅・中小企業の方も、Catoクラウドをご検討ください。

公開資料における比較

1. 導入社数（Page.8）
   Veronaでは、資料では3,700社（2022年度）とありますが、ホームページ上では4,800社以上（2023年度）とあります。1年でなんと＋1,100社！
   ただし、Network All Cloudシリーズでの導入実績のようで、フルマネージドSASE Veronaだけの導入実績は不明です。
   Catoクラウドは、2024年8月時点（7月29日）の以下の記事にあるように2,500社となります。
   https://www.catonetworks.com/news/cato-networks-doubles-arr-in-under-two-years/
   →Veronaだけの導入実績は不明なので引き分けとしました。

2. 包括的なネットワークセキュリティ（Page.9）
   Veronaは、あらゆる経路、あらゆる通信プロトコルを保護。アクセス元、アクセス先を問わないセキュアなアクセスを実現とありますが、Catoクラウドも同じです。Catoクラウドは、クライアント対応OSは、Windows、macOS、iOS（iPhone/iPad）、Android、Linuxに対応していますが、Veronaの対応OSはこの資料からは不明でしたが、ホームページに、Windows、macOS、iOS/iPadOS、Android（ChromeOS）に対応していました。
   →Veronaの対応OSでLinuxは未対応でしたが、引き分けとしました。

3. 社内トラフィックも管理・監視（Page.10）
   Veronaは、全てのネットワークアクセスを管理。マイクロセグメンテーションにより、侵入後の感染拡大を防止とあり、いわゆるインターネット向けの南北通信（North-South）だけではなく、東西通信（East-West）を含めて、管理・監視ができるのは、Catoクラウドも同じです。
   Catoクラウドでは、社外・インターネット向けの通信は、Internet Firewall機能、拠点間の通信は、WAN Firewall機能、拠点内はエッジデバイスであるSocketを経由する通信は、LAN Firewall機能があります。
   →Veronaの詳細な制御内容は不明ですが、引き分けとしました。

4. ネットワークアーキテクチャの拡張性と柔軟性（Page.11）
   Veronaは、あらゆる機能がクラウド上で提供されるため、ネットワーク構成の大幅な変更なく変化に柔軟に対応が可能とありますが、Catoクラウドも同じです。
   Catoクラウドでは、SD-WANとしてのネットワークルーティングはもちろんQoS機能、TCPアクセラレーションなど通信最適化を含めたネットワーク機能が提供されます。
   →Veronaのネットワーク機能の詳細は不明ですが、引き分けとしました。

5. ネットワークとセキュリティの統合管理（Page.12）
   Veronaは、あらゆるネットワーク/セキュリティ機能を一つのクラウドサービスとして包括管理。運用が効率化とありますが、Catoクラウドでも同じです。
   Catoクラウドのセキュリティは、FWaaS（Firewall as a Service）、URLフィルタリング、アンチマルウェア（AM）、次世代型アンチマルウェア（NGAM）、IPS、DNSセキュリティ、CASB、DLP、RBI（リモートブラウザ分離）、SaaS Security APIなどあらゆる機能がクラウド上で提供されています。
   Veronaの図には、プライベートアクセス、マイクロセグメンテーション、SWG、CASB、FWaaSしか表記がありませんので、VeronaでのAM、NGAM、IPS、DNS Security、DLP、RBI、SaaS API等々の機能有無は不明でした。
   →Veronaの詳細なセキュリティ機能は不明ですが引き分けとしました。

6. Veronaのポイント1 “カンタン導入”（Page.13）
   Veronaは、ヒアリングシートを記入し、2週間で導入可能です。
   「お客様はヒアリングシートの記入だけ！」「最短2週間のカンタン導入！」とありますが、Catoクラウドでも同じです。
   当社のCatoクラウドの初期簡易導入サービスは、ヒアリングシートに記入いただければ、3日程度で初期アカウント作成、および初期推奨設定を完了し、お客様へご提供開始することが可能です。
   →Veronaの2週間、Catoクラウド（当社サービス）の3日で比較し、Catoクラウドの勝ちとしました。

7. Veronaのポイント2 “運用負荷ゼロ”（Page.14）
   Veronaは、運用・管理のすべてを行うフルマネージドサービスでSASEの真価を発揮とありました。
   当社のCatoクラウドのマネージドサービスでは、初期導入から、サービス窓口（24時間365日、電話/メール受付）、拠点を含む監視・障害一次切り分け、通報サービス、Catoクラウドの設定変更作業代行、拠点に設置するエッジデバイス（Socket）のオンサイト保守（24時間365日対応、4時間駆け付け保証）、SOC監視サービス、セキュリティアドバイザリなどを提供しており、フルマネージドでCatoクラウドをご利用いただくことが可能です。
   →共にフルマネージドサービスで提供できるということから引き分けとしました。

8. Veronaのポイント3 “オールインクルーシブ”（Page.15）
   Veronaはサービス費用に全ての費用がインクルード。他社のSASE導入で必要となる高額なSI費用を含めた様々な費用が不要で、大幅なコスト減を実現とあります。
   当社のCatoクラウドの初期簡易導入サービスで多くのお客様はそれ以外の導入費用は不要になる場合が多いです。
   もちろん既存ネットワーク（通信キャリアWAN）や、セキュリティ機器（Proxy、URLフィルタリング、Firewall等）からの移行を含めた現状調査を委託したい場合や、Catoクラウドへ移行するための要件確認（Fit＆Gap）、移行に伴う移行検証や、実際の拠点移行などを委託されたいお客様に対しては、別途インテグレーション費用が必要になるのは当然ですが、Catoクラウドをご利用されるだけであれば、初期簡易導入サービスのみでご利用されている例が殆どです。
   特に、Catoクラウドは、他の同様のSASE/SSEソリューションとは異なり、ユーザービリティ（UI）に優れ、お客様ご自身で導入/運用を実施されている例が非常に多いです。
   →Veronaは、オールインクルーシブで導入費や運用費もすべて含まれていますが、そもそものサービスコストが分からないので、この比較は意味がないと判断しました（引き分け）

9. Veronaの構成要素（Page.16）
   Veronaは、ネットワーク、セキュリティ機能を提供するVerona SASE、SASEゲートウェイのVerona Edge、クライアントソフトのVerona ClientとそれらをコントロールするVerona Cloudから構成されます、とあります。
   Catoクラウドも基本的には同じです。全世界90箇所以上にあるPoP（Point of Presence）から構成されるネットワーク・セキュリティ機能を提供するCatoクラウドと、本社やデータセンター、クラウドに設置するエッジデバイス（Socket）と、クライアントソフトウェア（Cato VPN Client）、それらを管理するCato Management Application（CMA）で構成されています。
   →Veronaについては、PoPについての情報が全く不明で、Verona Cloudがどのように構成されているのかが分かりませんが、結果として引き分けとしました。

10. 証明書認証による強固な認証（Page.17）
    Veronaは、クライアント証明書をベースにした独自の認証システムで不正アクセスを防止します、とあります。
    Catoクラウドでの端末制御は、クライアント証明書をベースとしたデバイス認証（Device Authenticaton）機能を有していますが、クライアント証明書（デバイス証明書）の発行機能自体は、Catoクラウドでは実装されていません。他の証明書発行機関（サービス）が必須となります。
    Catoクラウドでは、デバイス認証以外に、クライアントの態勢（状況）で接続の可否判断を行うデバイス態勢（Device Posture）機能も有しており、クライアントにアンチマルウェアやFirewallが導入されているか、ディスクが暗号化されているかなどの態勢を確認して接続可否判断が可能です。
    それ以外にも、エッジデバイス（Socket）拠点では、事前に登録したMACアドレスのみ接続を許可するMAC Authenticaton機能もあります。
    →Veronaについては、クライアント証明書の管理までできる、Catoクラウドは、クライアント証明書は発行できないが、デバイス認証（Device Authenticaton）機能を有し、さらにデバイス態勢（Device Posture）機能やその他制御機能があるため、結果、引き分けとしました。

11. ダイナミックポートコントロール（Page.18）
    Veronaは、ダイナミックポートコントロール機能によリ、リモートアクセス環境の存在を隠し、不正アクセスリスクを極めて最小にします、とあります。
    Catoクラウドは、PoPにはエッジデバイス（Socket）とクライアントソフトウェア（Cato VPN Client）からしかアクセスができません。
    また、Socketや、Cato VPN Client自体が外部へサービス提供をしていないため、アタックサーフェスにはなりません。
    →結果、引き分けとしました。

12. 専門のエンジニアが脆弱性に対応（Page.19）
    Veronaは、専門のエンジニアがファームウェアを随時更新します、とあります。
    Catoクラウドも同じです。Catoクラウドの設備（PoP）、エッジデバイス（Socket）とクライアントソフトウェア（Cato VPN Client）は常に最新状態が保たれます。
    →Verona、Catoともにセキュリティアナリストなど専門要員数などが公開されている訳ではないので結果、引き分けとしました。

13. IDaaS連携でユーザ管理の効率化と認証強化（Page.20）
    Veronaは、IDaaSアカウントでのユーザ認証と証明書によるデバイス認証で強固な２要素認証を実現、とあります。
    Microsoft Entra ID（旧AzureAD）以外の対応IDaaSの記載はなく「本機能はWindowsのみ対応」とあり、Windows以外は未対応のようです。
    ただし、「Verona Client for Windowsユーザーズガイド」に、「Microsoft Entra ID、HENNGE One、Okta、OneLoginによるシングルサインオンまたは、Verona Cloud へのログインが利用できます」とありましたが、Active Direcrotyとの連携は不可でした。
    Catoクラウドは、Microsoft Entra ID（旧AzureAD）、Okta、OneLogin、Google、OneWelcome、PingFederate、JumpCloudとのID連携が可能です。ちなみに、Microsoft Entra IDとのID連携は、SCIM連携になります。
    SSO連携やMFA（多要素認証）はもちろん可能です。
    IDaaS（IdPs）との連携以外にも、Active DirectoryとのLDAP連携も可能です。
    →結果、連携IdPsの多さ、SSO/LDAP連携、対応OSを含めてCatoクラウドの勝ちとしました。

14. 最適な経路選択と負荷分散で通信ひっ迫を解消（Page.21）
    Veronaは、オンプレミスのゲートウェイに回線が集中し、ボトルネックになることも。Veronaなら、ローカルブレイクアウト機能とロードバランス機能で、回線負荷を軽減・分散します、とありました。
    Catoクラウドのアーキテクチャは、すべてのトラフィックをクラウドへアップロードします。つまりセキュリティ検査を行わないローカルブレイクアウトは原則しないアーキテクチャとなっています。
    ローカルブレイクアウトされた通信は、セキュリティ検査が行われていないだけではなく、証跡（ログ）も確保されていないため、何らかのセキュリティ・インシデントが発生した場合に、証跡を追うことができないことが致命的となった事例が多くあります。
    Catoクラウドでは、エッジデバイス（Socket）では、Split-Tunnel機能、クライアントソフトウェア（Cato VPN Client）ではBypass機能があり、IPアドレス指定で、Catoクラウドを経由させない通信を行うことが可能です（FQDNやドメイン指定はできません）
    ロードバランスはCatoクラウドでは自動で行われるため、ユーザは一切気にする必要はないです。
    →VeronaとCatoのアーキテクチャの思想が異なるため、引き分けとしました。

15. 包括的なセキュリティ対策を一つで（Page.22）
    Veronaは、以下のすべてのセキュリティ機能をVeronaひとつで提供可能です。入口/出口対策で、アプリケーションコントロール、URLフィルタリング、DNSセキュリティ、IDS/IPS、アンチウィルス、アンチスパムとありますが、詳細は不明です。
    Catoクラウドも上記のセキュリティ対策については同じです。
    Catoクラウドのセキュリティは、FWaaS、URLフィルタリング、アンチマルウェア（AM）、次世代型アンチマルウェア（NGAM）、IPS、DNSセキュリティ、CASB、DLP、RBI（リモートブラウザ分離）、SaaS Security APIなどあらゆる機能がクラウド上で提供されています。
    前述で、VeronaではAM、NGAM、IPS、DNS Security、DLP、RBI、SaaS API等々の機能有無がわかりかねますと記載しましたが、AM、IPS、DNS Securityは機能提供されているため、DLP、RBI、SaaS APIが不明（未実装）となります。
    →DLP、RBIなどのセキュリティ機能を考慮した場合は、Catoクラウドに軍配があがりますので、結果、Catoクラウドの勝ちとしました。

16. クラウドセキュリティ：アプリケーションコントロール（Page.23）
    VeronaのCASBですが、アプリケーションの可視化・制御ができます。業務に必要なアプリケーションのみアクセスを許可したり、情報漏洩の危険性があるアプリケーションの使用や、業務に無関係なアプリケーションの使用を禁止することができます。また、4,800以上のアプリケーションコントロールリストとあります。
    Catoクラウドも同じです。10,000以上のアプリケーションカタログがあり、CASBによるアプリケーションコントロールだけではなく、ファイルの中身を確認して、重要データの漏えいを防ぐDLP機能も有しています。
    Veronaでは、CASBでの許可・アクション制限・ブロックの単純な制御だけになりますが、Catoクラウドではファイルの中身までチェックをするDLP、そして、許可・アクション制限・ブロックだけではなく、Catoクラウド上でWebサイトのブラウジングを実施し、その画面データのみをクライアントへ送信するRBI（ブラウザ分離）機能もあります。
    →よって、DLP、RBIなど細かい制御が行えるCatoクラウドに軍配があがり、結果、Catoクラウドの勝ちとしました。

17. Webセキュリティ① URLフィルタリング（Page.24）
    VeronaのURLフィルタリングですが、91のカテゴリに基づいてWebサイトへアクセスを監視、制御できます。業務に不必要なサイトや危険なサイトへのアクセスをブロックすることで、マルウェア感染や情報漏えいを防ぎます、とありました。
    Catoクラウドも同じです。70個以上の組み込みカテゴリがあります。もちとんBlock/Prompt設定が可能です。
    →先ほどと同じですが、Catoクラウドでが、URLフィルタリングの単なる許可（OK）/警告（Prompt）/禁止（Block）だけではなく、RBI機能があるので、Catoクラウドの勝ちとしました。

18. Webセキュリティ② DNSセキュリティ（Page.25）
    VeronaのDNSセキュリティは、DNSレイヤーでのフィルタリングにより、プロトコルに依らない全ての通信をチェック。マルウェアによる不正なDNS要求など、URLフィルタリングでは制御できないアクセスも制御できます、とあります。
    →Catoクラウドも同じですので引き分けとしました。

19. アンチウイルス・アンチスパム（Page.26）
    Veronaの高度な脅威検知エンジンにより、新たな脅威や進化する脅威にも対応し、ファイルベースの攻撃を防止します。
    「※Fortinet社の脅威検知エンジンを使用しています」とありました。
    ここで初めて、Veronaが、Fortinet社のエンジンを採用していることが判明しました。
    Catoクラウドは、メールスパムには対応していません。
    最近は、Microsoft 365やGoogle Workspace（Gmail）などは、クライアントでは直接メールプロトコル（SMTP/IMAP/POP3）を利用せず、ブラウザやクライアントソフトウェアベースでHTTP/HTTP(S)ベースでの脅威対策になります。
    →Veronaの脅威検知エンジンが単なるシグニチャベースなのか、機械学習による振る舞い検知まで行うのかなどの詳細が不明なため、引き分けとしました。

20. インターネットアクセスを常時制御（Page.27）
    Veronaのクライアント常時起動設定で、インターネットアクセスを常時制御。社外から危険なサイトにアクセスしてしまうリスクから守ります。
    ※本機能はWindowsのみに対応、とありました。
    Catoクラウドの常時起動制御（Always-On機能）はもちろん可能です。常時起動は、Windowsだけはなく、macOS、iOS、Androidにも対応しています。また、クライアント制御は、Always-On機能以外に、デバイス認証（Device Authenticaton）機能、デバイス態勢（Device Posture）機能などその他制御機能があります。
    →結果、Catoクラウドの勝ちとしました。

21. Verona Cloud Consoleで運用・管理をシンプルに（Page.28）
    Veronaのあらゆるステータス情報をひとつに集約。リモート拠点やテレワーク中のクライアントまで、スムーズに状況を把握できます。
    →Catoクラウドも同じですので引き分けとしました。

22. 高負荷、遅延の発生箇所を特定（Page.29）
    Verona Edge稼働数、Verona Client接続数、そして各インターフェースの通信量をグラフ化。「東京本社の特定時間に通信量が多い」など高負荷の発生箇所を特定し、改善方法を導きます。
    →Catoクラウドも同じですので引き分けとしました。

23. ログで履歴をしっかり記録（Page.30）
    万一のとき、ログが不正の証跡に。ポリシーによって許可・拒否された通信のログ（トラフィックログ）や、リモートアクセス端末の接続切断ログ（システムログ）、各種設定を確認できます。APIでログ管理ツールへ出力し一元管理することも可能、とありました。
    Catoクラウドも同じです。APIでログ（Events）の出力が可能ですし、AWS（S3）やAzureへのデータ保管も可能です。また、Artic Wolf、Axonius、Google、Rapid7、Sekoia、Sumo Logic などサードパーティとの連携も可能になっております。
    →APIだけではなく、クラウドへの保管、サードパーティ連携も含めると、Catoクラウドの勝ちとしました。

24. 証明書管理をWebでラクラク（Page.31）
    PC紛失時の接続拒否、PCリプレイス時の証明書の入替え/配布などが、コントローラを構築することなく、Web上からSaaSで管理できます、とあります。
    Catoクラウドでクライアント接続拒否はできます。また、10.と同様ですがCatoクラウドには証明書管理機能はありません。
    →証明書の入替え/配布は10.と同じなので比較から除外すると、接続拒否（切断）はCatoクラウドも同じですので引き分けとしました。

25. セキュリティにこだわった運用体制（Page.32）
    Veronaの運用体制は、クラウドセキュリティに関する国際規格である、ISO/IEC 27017認証を取得。高度なセキュリティ要件を満たしたサービスで、安心してサービスをご利用いただけます、とありました。
    Catoクラウドでは、SOC1/2/3、ISO27001、ISO27017、ISO27018、ISO27701など主要な業界標準に準拠しています。
    https://www.catonetworks.com/security-compliance-and-privacy/
    →日本国内の基準だけではなく、世界標準に準拠していることから、Catoクラウドの勝ちとしました。

26. 安心の個別テナント（Page.33）
    クラウド基板上（誤字で正しくは基盤上だと思います）に、お客様ごとの個別テナントを作成し、固定のGIPを付与。他のお客様と環境が分離されるため、セキュリティ面も安心です。
    →Catoクラウドも同じですので引き分けとしました。

27. サポート体制（Page.34）
    Veronaの通常サポートは、平日9:00-17:00のようです。機器は先出しセンドバックの故障機交換、障害対応・原因分析、機器設定変更対応となります。24時間365日はオプションとなります。夜間/休日のサポートや、ファームウェアの自動更新が可能になります。
    Catoクラウドでは、Cato社自身のサポートは管理ポータルからのチケットは、24時間365日対応が可能です。ただし英語のみ。
    また、エッジデバイス（Socket）は、先出しセンドバック方式となっています。
    当社のマネージドサービスで、24時間365日のサービス窓口（電話/メール）や、Socketのオンサイト保守サービス（4時間駆け付け保証）を準備しています。
    Catoクラウドのエッジデバイス（Socket）は、オプションなしで、標準で自動更新となります。
    →結果、Catoクラウドの勝ちとしました。

網屋さんのPDF資料（Page.8からPage.34）の全27項目について、"独断と偏見で"比較した結果、9-0でCatoクラウドの勝ちとなりました

その他公開情報における比較

PDF以外のFAQや、その他Webサイト上の公開情報から15項目について、Catoクラウドとの比較をしています。