n8nは技術チームがワークフロー自動化を容易に利用できるようにすることを使命としています。製品とエンジニアリング組織を拡大するにつれ、セキュリティ態勢の複雑さも増しました。n8nのエンジニアリング担当副社長(兼セキュリティ責任者代理)であるコーネリアス氏に、どのようにして Aikido が脆弱脆弱性 管理とコンプライアンスプロセスの基盤となった経緯について伺いました。
やあ、コーネリアス!自己紹介とn8nでの役割を教えてくれる?
n8nのエンジニアリング担当副社長のコーネリアスです。n8nに入社してもうすぐ4年になりますが、エンジニアリング部門を監督し、成長させています。現在約40名のエンジニアが在籍しており(R&Dチームは約50名)、年内には60名まで拡大する予定です。エンジニアリングの責任に加え、現在は会社のセキュリティ責任者として、SOC 2のような監査のナビゲートや、規模拡大に伴う全体的なセキュリティ態勢の定義にも携わっています。
ワークフロー・オートメーション分野におけるn8nの特徴は?
n8nは技術者に力を与えます。n8nを使うのにプログラマーである必要はありませんが、もしそうであれば、このプラットフォームはあなたの生産性を10倍向上させます。n8nは、ローコードの柔軟性とカスタムコードのパワーの両方を兼ね備えています。これにより、堅牢なオートメーション、AIエージェント、社内ツールを簡単に構築することができます。
あなたの業界、特にn8nにおいて、セキュリティはどのような役割を果たしていますか?
セキュリティが極めて重要な理由は主に二つあります。第一に、ユーザーは最も機密性の高い認証情報(Google、Salesforce、データベース、その他のAPIなどのツールから)を接続するため、シークレット扱うにはユーザーの信頼を獲得し維持しなければなりません。
第二に、最も厳しいコンプライアンス要件を持つ政府機関やセキュリティ組織など、規制の厳しい分野の企業にサービスを提供しています。このような企業は、しばしばn8nのセルフホストを選択します。これにより、厳しいセキュリティとプライバシー基準を満たしながら、データとインフラを完全にコントロールすることができます。
安全保障をより戦略的に重視するきっかけとなった瞬間はあったのか?
初期段階ではセキュリティが無視されていたわけではありませんが、体系的な対応もまだ確立されていませんでした。DependabotやGitHubコードスキャン、Snykといったツールは導入していましたが、ノイズ 毎週送信されるメールだけでは不十分でした。検出結果を確認する一元的なプロセスも、対応責任者も存在していませんでした。
DependabotやGitHubコードスキャン、Snykといったツールを導入していましたが、ノイズ 毎週送信されるメールは十分とは言えませんでした。検出結果を確認する一元的なプロセスも、それらを処理する責任の所在も存在していなかったのです。
Aikido そのプロセス構築を脆弱性 しました。現在、 Aikido によって検出された脆弱性(コード、Dockerイメージ、インフラのいずれであっても)は、自動的にLinearにチケットを生成します。このチケットには深刻度に基づいたSLAが設定されています。つまり、すべての課題が追跡され、優先順位付けされ、定義されたタイムライン内で対応されるのです。セキュリティは単なるツールではなく、プロセスへと進化しました。
導入前に最も懸念していたセキュリティ上の問題は何か Aikido?
主に:
- 一貫したプロセスがない
- すべての調査結果を一元的に把握できない
- セキュリティ上の問題に対してSLAを実施する方法がない
深刻度の高い問題については21日間といった解決期限を確実に守れるような手段が必要でした。 Aikido は、そうした目標を達成するための枠組みを提供してくれました。
以前、コンプライアンスと監査をどのように対応していましたか? Aikido?
以前はDrataを活用していましたが、コンプライアンスの証拠収集には依然として多くの手作業が必要でした。Aikido セキュリティツール群を一元管理する「シングルペイン・オブ・グラス」を提供することでDrataを補完しAikido 証拠収集と監査対応にかかる時間を削減することに貢献しています。
AikidoのDrata統合により、証拠収集と監査通過にかかる時間を短縮できます。
Aikidoの評価中に、どのような点が際立っていましたか?
私たちは Aikidoの早期採用者でした。GitHubとの連携は文字通り数クリックで完了するプラグアンドプレイでした。
しかし、より重要なのは、 Aikido チームは驚くほど迅速に対応してくれた。我々がフィードバックを送ると、 Aikido チームは1時間以内に返信し、1日以内に改善点や修正を実装してくれました。今でもその対応は続いています。特にSOC 2監査の準備期間中、このような協力関係は計り知れない価値がありました。
合気道 Aikido チームは驚くほど迅速に対応してくれます。フィードバックを送ると1時間以内に返信があり、改善や修正は通常1日以内に実装されます。
どのように統合したのですか? Aikido をワークフローに組み込みましたか?
- コードベースをスキャンするためのGitHub
- チケットの引継ぎと解決のためのリニア
全体的に、物事を常に把握するのに役立っている。
合気道でのご経験はいかがでしたか? Aikido チームとの仕事はいかがでしたか?
素晴らしい。彼らは信じられないほど迅速で透明性があり、いつも快く電話に出てくれたり、問題を素早く解決してくれる。そこには多くの信頼があります。前述したように、私たちがバグにぶつかったり、フィードバックをもらったりすると、チームはすぐにそれに飛びつき、たいていは1日以内に修正してくれます。このサポートは、ロールアウトが成功した大きな理由です。
合気道で一番好きな技は何ですか? Aikido?
間違いなくチーム・フィルタリングだ。脆弱性を即座に適切なチームにルーティングできる。
しかし、メインフィードは私が最も時間を費やす場所だ。少なくとも週に5回はこのフィードをチェックし、何が開かれていて、何が緊急で、何が解決されたかを確認する。フィードを見ることで、私はすべてを把握することができる。
Aikidoのメインフィードは私が最も時間を費やす場所です。週に少なくとも5回は確認し、開いている案件、緊急の案件、解決済みの案件を把握しています。これにより完全な可視性が得られます。
当社製品は商用製品であると同時にオープンソース製品でもあるため、オープンソースライブラリに大きく依存しています。オープンソースライセンスの閲覧SBOM ソフトウェア部品表)機能も当社にとって極めて重要です。
n8nは92%ノイズ 報告しています Aikidoによるノイズ低減率92%を報告しています。その影響はどのようなものでしたか?
はい!92%ノイズ 画期的な技術です。これにより、本当に重要な8%に集中できるようになります。それだけでも非常に価値があります。
少し不可解なチケットもあるが、エンジニアをスタートさせるには十分だ。正直なところ、『静かさ』にはすぐに慣れました。生産性と正気の大幅な向上だ。
ノイズを92%削減したことで、すぐに「静けさ」に慣れることができました。今では、さらに静かになることを願っています。これは生産性と精神衛生を大幅に向上させます。
測定可能な成果はあったか?
「ノイズ 削減しました」と言えるだけでもインパクトがあります。しかしそれ以上に、SLAを遵守し、監査をより効率的に通過できるようになったことは、私たちにとって大きな成果です。
合気道はどのように Aikido は全体としてあなたの安全対策の姿勢をどのように変えましたか?
アプローチが一元化された。以前は、物事はツールや受信トレイに散らばっていました。今は、真実の情報源はひとつです。
もし合気道を一言でまとめるとしたら Aikidoの影響をn8nにおいて一言で表すと?
Aikido は、安全という(それ自体が恐ろしい)問題に関して、私たちに心の平安を与えてくれる。
