n8nは、技術チームがワークフロー自動化にアクセスできるようにすることを使命としています。製品およびエンジニアリング組織を拡大するにつれて、セキュリティポスチャーの複雑さも増しました。n8nのエンジニアリング担当副社長(兼セキュリティ責任者)であるコーネリアス氏に、Aikidoが彼らの脆弱性管理およびコンプライアンスプロセスにおいていかに重要な役割を果たすようになったかについて話を聞きました。
コーネリアスさん!自己紹介とn8nでの役割についてお聞かせいただけますか?
私はn8nのエンジニアリングVP、コーネリアスです。n8nには約4年間在籍しており、エンジニアリング組織の監督と成長を担ってきました。現在、約40名の強力なエンジニア(より広範な約50名のR&Dチーム内)がおり、年末までに60名に拡大する予定です。エンジニアリングの責任に加えて、現在は会社のセキュリティオフィサーも務めており、SOC 2のような監査への対応を支援し、規模拡大に伴う全体的なセキュリティ体制の定義を支援しています。
ワークフロー自動化分野においてn8nがユニークである理由は何ですか?
当社は技術者の能力向上に注力しています。n8nを使用するのにプログラマーである必要はありませんが、もしそうであれば、このプラットフォームは生産性を10倍向上させることができます。ローコードの柔軟性と、必要に応じてカスタムコードを使用できる能力という、両方の長所を組み合わせています。これにより、堅牢な自動化、AIエージェント、および社内ツールを簡単に構築できます。
貴社の業界、特にn8nにおいて、セキュリティはどのような役割を果たしていますか?
セキュリティは、2つの重要な理由から絶対に不可欠です。第一に、ユーザーは最も機密性の高い認証情報(Google、Salesforce、データベース、その他のAPIなどのツールから)を接続します。これは、これらのシークレットを扱う上で、お客様の信頼を獲得し維持しなければならないことを意味します。
第二に、当社は政府機関やセキュリティ組織を含む、最も厳格なコンプライアンス要件を持つ高度に規制された分野の企業にサービスを提供しています。これらの組織は、n8nをセルフホストすることを選択することが多く、これにより、厳格なセキュリティおよびプライバシー基準を満たしながら、データとインフラストラクチャを完全に制御できます。
セキュリティへのより戦略的な焦点を促したきっかけはありましたか?
初期段階では、セキュリティが無視されていたわけではありませんが、まだ体系的に扱われていませんでした。Dependabot、GitHubコードスキャン、Snykなどのツールは導入されていましたが、それらが生成するノイズや毎週送られてくるメールだけでは十分ではありませんでした。検出結果を確認したり、それらを処理する責任を負う一元化されたプロセスがありませんでした。
Dependabot、GitHubコードスキャン、Snykなどのツールを導入していましたが、それらが生成するノイズや毎週送られてくるメールでは十分ではありませんでした。検出結果を確認するための一元化されたプロセスや、それらを処理する担当者がいませんでした。
Aikidoは、そのプロセスを構築するのに役立ちました。現在、Aikidoによってフラグ付けされたすべての脆弱性(コード、Dockerイメージ、インフラのいずれであっても)は、重大度に基づいたSLAとともに、Linearに自動的にチケットを作成します。これにより、すべての問題が追跡され、優先順位が付けられ、定義された期間内に対応されます。セキュリティは単なるツールではなく、プロセスとなりました。
Aikido導入前の主なセキュリティ上の懸念事項は何でしたか?
主に:
- 一貫したプロセスはありません
- すべての検出結果の一元的な概要はありません
- セキュリティ問題全体でSLAを強制する方法はありません。
優先度の高い検出結果に対する21日間の解決期限など、解決期限を確実に守るのに役立つものが必要でした。Aikidoは、これらの目標を実際に達成するための仕組みを提供してくれました。
Aikido導入前は、コンプライアンスと監査をどのように処理していましたか?
Drataを利用していましたが、コンプライアンスの証拠収集には依然として多くの手作業が必要でした。Aikidoは現在、Drataを補完し、セキュリティツールの一元的なビューを提供しています。これにより、証拠収集と監査合格にかかる時間を短縮できました。
AikidoのDrata連携は、証拠収集と監査合格にかかる時間を短縮するのに役立ちます。
Aikidoの評価中に、どのような点が際立っていましたか?
私たちはAikidoの初期導入者でした。GitHub連携はプラグアンドプレイで、文字通り数クリックで完了しました。
しかし、さらに重要なことに、Aikidoチームは信じられないほど迅速に対応してくれました。私たちがフィードバックを送ると、Aikidoチームは1時間以内に返信し、1日以内に改善や修正をリリースしました。彼らは今でもそうしています。このようなパートナーシップは、特にSOC 2監査の準備中には非常に貴重でした。
Aikidoチームは非常に迅速に対応します。フィードバックを送信すると、1時間以内に返信があります。改善や修正は、多くの場合1日以内に提供されます。
Aikidoをワークフローにどのように統合しましたか?
- コードベースのスキャン向けGitHub
- チケットの引き継ぎと解決は線形です
全体として、これにより私たちは状況を把握し続けることができました。
Aikidoチームとの協業経験はどのようなものでしたか?
素晴らしいです。彼らは信じられないほど迅速かつ透明性が高く、常に電話対応や問題解決に迅速に対応してくれます。そこには大きな信頼があります。前述の通り、バグに遭遇したりフィードバックがあったりすると、チームは迅速に対応し、通常は1日以内に問題を修正してくれます。そのサポートが、ロールアウトが成功した大きな要因となっています。
Aikidoで最も気に入っている機能は何ですか?
間違いなくチームフィルタリングです。これにより、脆弱性を適切なチームに即座にルーティングできます。
しかし、私はほとんどの時間をメインフィードで過ごします。何が未解決で、何が緊急で、何が解決済みかを確認するために、週に少なくとも5回はチェックしています。これにより、全体像を完全に把握できます。
Aikidoのメインフィードは、ほとんどの時間を費やす場所です。何がオープンで、何が緊急で、何が解決されたかを確認するため、週に最低5回はチェックします。これにより、完全な可視性が得られます。
当社は商用製品とオープンソース製品の両方であるため、オープンソースライブラリに大きく依存しています。オープンソースライセンスビューとSBOM (Software Bill of Materials)機能も当社にとって非常に重要です。
n8nはAikidoにより92%のノイズ削減を報告しています。その影響はどうでしたか?
はい、92%のノイズ削減は画期的な変化をもたらします。これにより、本当に重要な8%に集中できます。それだけでも非常に価値があります。
一部のチケットはやや難解ですが、エンジニアが作業を開始するには十分です。正直なところ、私たちはすぐに「静けさ」に慣れ、今ではさらに静かになることを願っています。これは生産性と精神衛生の面で大きな向上です。
ノイズを92%削減したことで、すぐに「静けさ」に慣れることができました。今では、さらに静かになることを願っています。これは生産性とメンタルヘルスを大幅に向上させます。
何か測定可能な成果はありましたか?
「ノイズを92%削減した」と言えるだけでも効果的です。しかしそれ以上に、SLAを遵守し、監査をより効率的に通過できることは、私たちにとって大きな成果です。
Aikidoは全体的なセキュリティ体制をどのように変えましたか?
私たちのアプローチを一元化しました。以前は、ツールや受信トレイに情報が散在していましたが、今では単一の信頼できる情報源を持っています。
n8nにおけるAikidoの影響を一文で要約するとしたら?
Aikidoは、セキュリティに関して(それ自体が困難なことですが)私たちに安心感を与えてくれます。
