セキュリティとバックアップを分離しているMSPが、もはや負担できないリスクを抱えている理由
マネージドサービスプロバイダー(MSP)業界が長年にわたって当然のこととして受け入れてきた運用上の亀裂がある。そして今、市場はその代償を請求し始めている。数十年にわたり、セキュリティとデータバックアップはサービスポートフォリオの中で別々の分野として共存してきた。あるチームがファイアウォールと脅威検知を担当し、別のチームがテープ、バケット、コピーのスケジュールを管理していた。運用の観点からは、この分業は合理的に見えた。しかし今日、それは攻撃のベクターとなっている。
2026年に起きていることは、抽象的な技術的高度化ではない。それはターゲットの転換だ。ランサムウェアグループは、もはや本番システムを暗号化して支払いを待つだけではない。まずバックアップインフラを特定し、それを管理するクレデンシャルを侵害し、リカバリーポイントを削除または暗号化してから、初めて大規模な暗号化を実行する。その結果、被害を受けた組織はデータを失うだけでなく、回復する能力そのものを失う。そして、その環境を管理していたMSPは、評判の失墜よりもさらに深刻な事態、つまり「保護」として販売したものを保護できなかったことに対する契約上の責任にさらされることになる。
BleepingComputerとKaseyaが共同開催するウェビナー(2026年5月14日に予定)の発表は、単なる業界教育イベントではない。大手プラットフォームプロバイダーが、市場に強制される前に自らナラティブを再構築しようとしているシグナルだ。
バックアップが標的になったとき
長年にわたり、中小企業セグメントにおけるバックアップに関する議論は、コピーの頻度とギガバイトあたりのコストを中心に展開されてきた。MSPは運用上の安心感を販売していた。何かが壊れても、コピーがある。攻撃が主に本番データに向けられていた間は、それで十分な約束だった。
攻撃者の戦術的転換が、その方程式を変えた。まずバックアップを攻撃することで、あらゆるインシデントが完全損失イベントに変わる。なぜなら、身代金を支払わずに回復するという選択肢が消滅するからだ。この論理は、特別な技術的能力を必要とするものではない。事前のリコナイサンス、適切に保護されていないクレデンシャルへのアクセス、そして暗号化を実行する前にネットワーク内に滞在するための十分な時間が必要なだけだ。MSPが管理する中小企業の環境は、恐ろしい頻度でその時間を提供している。本番とバックアップ間のセグメンテーションがないネットワーク、共有された管理者アカウント、バックアップ管理コンソールへの多要素認証の欠如などがその原因だ。
NovaBACKUPの2026年に向けた調査が記録していることは、この点において明確だ。攻撃者は意図的に、リカバリーオプションが弱い環境を選ぶ。MSPに外注された中小企業が頻繁に標的になるのは偶然ではない。プレッシャー下での回復を実証できないマネージドサービスの約束は、機能的に空虚な約束だ。
技術的対応として標準として固まりつつあるものには、かつては任意だったが今や運用上不可欠となった3つのコンポーネントがある。第一はイミュータブルバックアップ:Amazon S3、Wasabi、Backblaze B2などのプロバイダーのObject Lockを通じて実装された、定義された保持期間中は変更も削除もできないコピー。第二はマルチサイトハイブリッドアーキテクチャ:迅速なリストアのためのローカルバックアップ、地理的冗長性のためのオフサイトコピー、そしてデジタルアクセスチェーンを標的にした攻撃を生き延びるための隔離されたエアギャップコピーの組み合わせ。第三は、運用上最も無視されている継続的なリストア検証:コピーを実行するだけでは不十分であり、実際の条件下でコピーが機能することを定期的にテストする必要がある。
これらのコンポーネントはいずれも技術的に新しいものではない。変わったのは、それらを実装しないことの結果だ。
MSPが販売しているものと実証できるものの間の亀裂
ここで、MSPの戦略的一貫性が危機に陥る。商業的な言説と実際のサービスアーキテクチャの間には、文書化された乖離が存在する。ほとんどのMSPは「データ保護」と「ビジネス継続性」を価値提案として販売しているが、基礎となるアーキテクチャはプレッシャー下でその約束を維持できない。バックアップはオプションのアドオンだった。リストアテストは年次イベントであり、日常的な運用ルーティンではなかった。本番とバックアップの間のネットワークセグメンテーションは、誰も要求しなかったために存在しなかった。
この乖離は単なる技術的問題ではない。ビジネスモデルの問題だ。監査済みの回復を実証できないMSPは、それを構築するコストを含まない価格でレジリエンスの幻想を販売している。購買者の成熟度が低い市場では、それはインシデントが発生するまでうまくいく。回復可能性の証明を要求することを学んでいる市場では、それは拡大する競争上の不利だ。
ScalePadの2026年のデータによると、MSPの55%が2桁の収益成長を予測しており、その成長はコスト削減ではなく、自社の能力への投資から生まれている。この数字の戦略的読み方はシンプルだ。勝っているMSPは、常に構築すべきだったものを構築するコストを引き受けている。投資していないMSPは、次の深刻なインシデントが競合他社に当たることに賭けている。
バックアップにおけるオプションのアドオンモデルには、追加の構造的問題がある。それは保護の決定を、顧客が延期または拒否できるものに変えてしまうことだ。これはMSPにリスクを移転させるが、コントロールは移転させない。顧客が高度なバックアップモジュールを契約しないことを選択し、壊滅的な攻撃を受けた場合、MSPはオプションを提供したと主張できるかもしれないが、自分たちが管理していた環境に対して責任がなかったとは主張しにくい。マネージドサービスの標準は、ツールの提供だけでなくリスク管理を意味する。
任意ではない収束
セキュリティとバックアップを統一された継続性戦略の中に統合することは、製品の好みではない。それは攻撃がどのように進化したかの論理的帰結だ。各機能に対して別々のチーム、予算、指標で運用し続けることは、攻撃者が悪用するまさにその空白を生み出す。セキュリティチームはネットワークトラフィックを監視するが、バックアップの状態を可視化できない。バックアップチームはコピーを検証するが、環境内のアクティブな脅威についてのコンテキストを持っていない。調整はインシデントの後に行われ、前には行われない。
Kaseyaなどの統合プラットフォームプロバイダーが2026年に位置づけているものは、新しい技術的ソリューションではない。それは統合の論拠だ。セキュリティとバックアップがデータ、ダッシュボード、ワークフローを共有すれば、運用上の乖離は縮小する。そのプラットフォームロジックは、運用効率の観点からMSPにとって意味があるが、コスト構造とベンダー依存性についての含意もあり、それらは別途分析する価値がある。
収束のための最も正直な論拠は技術的なものではなく、経済的なものだ。セキュリティとバックアップを別々のサービスとして運用するMSPは、監視インフラ、アラート統合、対応プロトコル、顧客との商業的対話を二重に持つ必要がある。これは運用コストを倍増させ、速度が最も重要な瞬間、つまり攻撃が進行中の時に、応答速度を低下させる。統合は複雑さを排除しないが、より効率的に管理できる場所に集中させる。
イミュータブルバックアップ、ハイブリッドアーキテクチャ、継続的検証の採用は、短期的な運用コストの増加を伴う。そのコストは「レジリエンスへの投資」として再フレーミングすることで消えるものではない。それは現実であり、繰り返し発生し、サービス価格に転嫁するか、マージンで吸収する必要がある。顧客とのそのような会話を避けているMSPは、市場がいずれにせよ強制することになる交渉を先送りしているが、それはより弱い立場からのものになる。
正しいアーキテクチャを先送りし続けることの代償
マネージドサービス業界は、部分的には脅威環境の増大する複雑さによって促進され、2026年において堅調な成長軌道を描いている。しかし、市場の成長はすべての参加者がそこから価値を得ることを保証しない。バックアップをオプションサービスとして運用し、体系的なリストアテストなしで、本番と回復の間のセグメンテーションもなしに運用し続けているMSPは、インシデントが一気にそれを可視化するまで静かに蓄積される負債を構築している。
市場標準の転換を示す最も明確なシグナルは、ウェビナーやトレンドレポートにあるのではない。それは、プロバイダー選定プロセスの一部として回復可能性の監査を要求する法人購買者の行動、そしてプラットフォームプロバイダー自身がサプライチェーンに組み込んでいる認証要件にある。監査済みの回復を実証する能力のないMSPが、価格ではなく技術的能力の欠如によって販売プロセスで敗れ始めたとき、投資を先送りにした代償は具体的なものとなる。
2026年においてMSPにとって最もコストのかかる乖離は、そのセキュリティツールと攻撃者のものとの間にあるものではない。約束したことと、その約束が試されたときに実証できることの間にある乖離だ。その乖離を閉じるには、多くの者が脅威が先に他者を見つけることを期待して先送りにし続けているアーキテクチャ、価格、サービスモデルに関する決断が必要だ。その賭けは、市場がすでに請求し始めた失敗率を持っている。
