CATO Cloudと言えばSASEのパイオニア？みたいなサービスですよね。色々なSASE（CATO、Zscaler、Forti）を扱っていると、ライセンス体系が良く分からなくなってきます。と、いう事で、CATOについて久々に調べ直したので備忘録として書いておきます。

なお、私のWebサイトは少しだけタイムラグがありまして、この記事は2025年9月16日に記載したものです。

拠点をCATOに繋げるライセンスの種類

ITの商社マクニカさんのサイトによると、Pooled LicenseとSite Licenseがあります。

https://www.macnica.co.jp/business/security/manufacturers/cato/license_idea.html

大きな違いは、各拠点で必要な帯域をまとめて買って分配（Pooled License）するか、拠点ごとに買うか（Site License）の違いです。Pooled Licenseでは、例えば1,000Mbpsの帯域を買って、A拠点に200、B拠点に200、C拠点には600、と言ったように分配できます。

一方、Site Licenseは、拠点毎に買います。A拠点に250、B拠点に250、C拠点に500、等です。

上記のような例の場合、A拠点とB拠点は50Mbps余分に見えますが、Site Licenseで買える単位が決まっており、200Mbpsというライセンスがないので、250Mbpsとなっています。同様に、C拠点は600Mbpsと言うライセンスがないので、100Mbps減らして500Mbpsとなっています。

ユーザをCATOに繋げるライセンス

ZTNA Licenseと言うライセンスがあり、ユーザ数に応じて金額が決まります。各ユーザは端末（WindowsやLinux、Mac、Android等）にCATO Clientと呼ばれるクライアントアプリをインストールすることで、CATO Cloudに接続します。

なお、CATOの世界で言う、このようなリモートユーザはSDPユーザと呼ばれています。

大した説明になってませんが、SiteライセンスとZTNAライセンスのどちらを選んだ方が良いか、マクニカさんが比較と一緒に掲載してくれています。

https://cato-faq.macnica.co.jp/faq/show/997?site_domain=default

個人的な意見だと、大きな違いは、CATO Clientがインストールできないサーバ等があり、このようなサーバもCATOを使用したいならSiteライセンスを選び、そうでなければZTNAライセンスが良いと思っています。ZTNAライセンスであれば、SDPユーザは社内外でも同様にCATO Cloudに接続できるため、リモートワークや外出、出張であっても、同じセキュリティが適用できるからです。

もちろん、金額も変わってくるので、そこは導入する会社や部署次第でしょうか。

Socketを使わない場合の拠点とCATOの接続

FortiSASEでは、FortiGateではない機器をFortiSASEに繋げる場合、On-Rampライセンスと言う、まぁまぁ（FortiSASEの中では）高額なライセンスが必要になりますが、CATOはどうでしょうか。

以下のCATOの2つのページを見ると、そのような場合に追加ライセンスが必要と言う文言の記載はありません。また、マクニカさんの価格の算出方法を紹介しているページ（3つ目のリンク）を見ても、非Socketの拠点に、追加でライセンスは加算されていないようです。

https://support.catonetworks.com/hc/en-us/articles/18663429298077-Connecting-Sites-to-the-Cato-Cloud

https://support.catonetworks.com/hc/en-us/articles/25424780448413-License-and-Apps-for-Cato-Third-Party-Integrations

https://cato-faq.macnica.co.jp/faq/show/135?site_domain=default

つまり、明確な文言は得られていないものの、SocketではないVPN機器（FirewallやRouter）をCATOに繋ぐ場合に追加ライセンスは不要と読み取れます。

なお、CATOやそのディストリビューターに正式に確認していないため、この内容を保証するものではありません。

セキュリティオプションライセンス

Threat Protection等、追加ライセンスで使えるセキュリティ機能もあります。