n8n 社は、技術チームがワークフローの自動化にアクセスできるようにすることを使命としています。製品とエンジニアリング組織の規模を拡大するにつれ、セキュリティ体制の複雑さも増していった。n8n社のエンジニアリング担当副社長（兼セキュリティ担当役員代理）であるコーネリアス氏に、Aikido 脆弱性管理とコンプライアンス・プロセスの礎石となった経緯について話を聞いた。

‍

やあ、コーネリアス！自己紹介とn8nでの役割を教えてくれる？

n8nのエンジニアリング担当副社長のコーネリアスです。n8nに入社してもうすぐ4年になりますが、エンジニアリング部門を監督し、成長させています。現在約40名のエンジニアが在籍しており（R&Dチームは約50名）、年内には60名まで拡大する予定です。エンジニアリングの責任に加え、現在は会社のセキュリティ責任者として、SOC 2のような監査のナビゲートや、規模拡大に伴う全体的なセキュリティ態勢の定義にも携わっています。

‍

ワークフロー・オートメーション分野におけるn8nの特徴は？

n8nは技術者に力を与えます。n8nを使うのにプログラマーである必要はありませんが、もしそうであれば、このプラットフォームはあなたの生産性を10倍向上させます。n8nは、ローコードの柔軟性とカスタムコードのパワーの両方を兼ね備えています。これにより、堅牢なオートメーション、AIエージェント、社内ツールを簡単に構築することができます。

‍

あなたの業界、特にn8nにおいて、セキュリティはどのような役割を果たしていますか？

セキュリティは、2つの重要な理由のために絶対に不可欠です。第一に、ユーザーは（Google、Salesforce、データベース、その他のAPIなどのツールから）最も機密性の高いクレデンシャルを接続する。

第二に、最も厳しいコンプライアンス要件を持つ政府機関やセキュリティ組織など、規制の厳しい分野の企業にサービスを提供しています。このような企業は、しばしばn8nのセルフホストを選択します。これにより、厳しいセキュリティとプライバシー基準を満たしながら、データとインフラを完全にコントロールすることができます。

‍

安全保障をより戦略的に重視するきっかけとなった瞬間はあったのか？

初期の頃、セキュリティは無視されていたわけではありませんでしたが、まだあまり構造的な方法では扱われていませんでした。DependabotやGitHubのコードスキャン、Snykのようなツールはありましたが、それらが生み出すノイズや毎週送り続けるメールだけでは十分ではありませんでした。発見を確認するための一元化されたプロセスも、それを処理するための所有権もありませんでした。

‍

Dependabot、GitHubコードスキャン、Snykのようなツールを導入していましたが、それらが生み出すノイズや毎週送り続けるメールでは十分ではありませんでした。発見を確認するための一元化されたプロセスも、それを処理するための所有権もありませんでした。

‍

Aikido そのプロセスを構築する手助けをしてくれました。現在、Aikido フラグが立てられた脆弱性（コード、Dockerイメージ、インフラを問わず）はすべて、Linearで自動的にチケットが作成され、重要度に応じたSLAが設定されます。つまり、すべての問題は追跡され、優先順位が付けられ、定義されたタイムライン内で作業されます。セキュリティはもはや単なるツールではなく、プロセスになったのです。

‍

Aikido始める前、セキュリティ面で最も懸念していたことは何でしたか？

主に：

• 一貫したプロセスがない
• すべての調査結果を一元的に把握できない 
• セキュリティ上の問題に対してSLAを実施する方法がない

私たちは、重大性の高い発見については21日間というように、解決期限を確実に守ることができるものを必要としていました。Aikido 、これらの目標を実際に達成するための仕組みを与えてくれた。

‍

Aikido以前は、コンプライアンスや監査にどのように対応していましたか？

Drataを使用していましたが、コンプライアンス・エビデンスにはまだ多くの手作業が必要でした。Aikido Drataを補完し、当社のセキュリティ・ツールを一枚のガラスで提供してくれるようになりました。そのおかげで、証拠を集めて監査に合格するまでの時間が短縮されました。

‍

AikidoDrata統合は、証拠収集と監査合格にかかる時間を短縮するのに役立っています。

‍

Aikido 審査で目立った点は？

私たちはAikidoアーリーアダプターでした。GitHubとの統合はプラグアンドプレイで、文字通り数回クリックするだけでした。 

しかし、もっと重要なのは、Aikido チームが驚くほど迅速に対応してくれたことです。私たちがフィードバックを送ると、Aikido チームは1時間以内に返信し、1日以内に改善や修正を送ってくれました。今でもそうだ。このようなパートナーシップは、特にSOC 2監査の準備中、非常に貴重なものでした。

‍

Aikido チームは驚くほど反応がいい。フィードバックをすると、1時間以内に返事が返ってきます。改善や修正は、多くの場合1日以内に発送されます。

‍

Aikido どのようにワークフローに組み込んだのですか？

• コードベースをスキャンするためのGitHub
• チケットの引継ぎと解決のためのリニア

全体的に、物事を常に把握するのに役立っている。

‍

Aikido チームとの仕事はどのような経験でしたか？

素晴らしい。彼らは信じられないほど迅速で透明性があり、いつも快く電話に出てくれたり、問題を素早く解決してくれる。そこには多くの信頼があります。前述したように、私たちがバグにぶつかったり、フィードバックをもらったりすると、チームはすぐにそれに飛びつき、たいていは1日以内に修正してくれます。このサポートは、ロールアウトが成功した大きな理由です。

‍

Aikido好きなところは？

間違いなくチーム・フィルタリングだ。脆弱性を即座に適切なチームにルーティングできる。 

しかし、メインフィードは私が最も時間を費やす場所だ。少なくとも週に5回はこのフィードをチェックし、何が開かれていて、何が緊急で、何が解決されたかを確認する。フィードを見ることで、私はすべてを把握することができる。

‍

Aikidoメインフィードは、私がほとんどの時間を費やす場所だ。少なくとも週に5回はチェックし、何がオープンで、何が緊急で、何が解決されたかを確認する。このフィードは私に完全な可視性を与えてくれる。

‍

私たちは商用とオープンソースの両方の製品を持っているため、オープンソースのライブラリに大きく依存しています。オープンソース・ライセンス・ビューとSBOM（ソフトウェア部品表）機能も、私たちにとって非常に重要です。

‍

n8n、Aikido92％のノイズ低減を報告。その影響は？ 

そうだ！92％のノイズリダクションはゲームチェンジャーだ。実際に重要な8％に集中できる。それだけでゴールドだ。 

少し不可解なチケットもあるが、エンジニアをスタートさせるには十分だ。正直なところ、『静かさ』にはすぐに慣れました。生産性と正気の大幅な向上だ。

‍

92％のノイズリダクションで、私たちはすぐに "静かさ "に慣れた。今となっては、もっと静かだったらと思う！生産性と正気度が大幅に向上しました。

‍

‍

測定可能な成果はあったか？

ノイズを92％削減した」と言えるだけでもインパクトがある。しかし、それ以上に、SLA内にとどまり、監査をより効率的に通過できるようになったことは、私たちにとって大きな勝利です。

‍

Aikido 、全体的なセキュリティ態勢はどのように変わりましたか？

アプローチが一元化された。以前は、物事はツールや受信トレイに散らばっていました。今は、真実の情報源はひとつです。

‍

Aikidon8nに与えた影響を一言で表すとしたら？

‍

Aikido 、安全に関して（それだけでも大変なことだが）安心感を与えてくれる。

‍

‍