DifyはノーコードでAIアプリケーションを開発することができる便利なツールですが、Difyのセキュリティ面がに不安を感じているカラもいらっしゃるのではないでしょうか。
今回PROMPTYでは、Difyは安全かどうか、また中国企業のテンセントがバックにいるという噂の真偽とDifyのセキュリティリスクについても解説します。
ぜひ最後までご覧ください。
Difyとは
Difyは米国のAIテクノロジー企業である「LangGenius, Inc.」が提供する、AIアプリケーションを作成することができるプラットフォームです。現在ではオープンソース版とクラウド版の2つの提供形態があります。
Difyの大きな特徴として、ノーコードでAIアプリケーションを作成することができます。これにより、プログラミングに触れたことのない方でも簡単にAIアプリケーションを作成することができます。
また、Difyは商用利用も原則可能であり、一部例外のケースを除き作成したAIアプリケーションを販売等することができます。
Difyの商用利用に関して詳しく知りたい方はこちらの記事もご覧ください。
Difyはノーコードで生成AIツールを作成することができる便利なOSS(オープンソースソフトウェア)ですが、商用利用が可能なのか気になりますよね。 今回PROMPTYでは、Difyの商用利用可否について、ケース別に解説します。 […]
他にも、DifyではRAGを使用することができるため、作成したチャットボットに登録した情報を参照して回答させることも可能です。
DifyでのRAGの使用について詳しく知りたい方はこちらの記事もご覧ください。「そもそもRAGとは何?」といった方も、下記記事ではRAGについても解説していますのでぜひご覧ください。
DifyはノーコードでAIアプリケーションを開発することができる便利なツールですが、Difyでの開発にRAGを使用したいなと感じたことはありませんか? 今回PROMPTYでは、DifyでRAGを使用する方法を設定項目から実際の作成手[…]
Difyのバックにテンセントがいるという話は本当?
引用:X
上記画像のXの投稿にて「Difyは中国のテンセントがバック」という主張が見られますが、この投稿のリプ欄にてDify公式がその主張を否定しています。
原文:Hi there, we are aware of some inaccurate information mentioned in the post. Dify is developed and operated by LangGenius, Inc., a company that adheres to U.S. laws and data policies, with a globally diverse team. We created this open-source product in collaboration with the community. If you’re hesitant about cloud services, feel free to use our open-source version. Regarding any connections between Dify and Tencent, we want to make it clear: although some of our team members have worked with Tencent Cloud’s DevOps team, Dify’s creation is an entirely separate and inspiring startup story. Dify have no ties to Tencent or any government agencies; we are purely market-driven. We strive for transparency, sharing all information through our official website, open-source community, and Discord. Thanks for your interest, and we aim to clear up any potential confusion for our users
和訳:こんにちは。投稿に記載されている情報が不正確であることを認識しています。Dify は、米国の法律とデータ ポリシーを遵守し、世界的に多様なチームを擁する LangGenius, Inc. によって開発および運営されています。このオープンソース製品は、コミュニティと協力して作成しました。クラウド サービスに不安がある場合は、オープンソース バージョンを自由にご利用ください。Dify と Tencent の関係については、明確にしておきたいことがあります。当社のチーム メンバーの一部は Tencent Cloud の DevOps チームと協力したことがありますが、Dify の創作はまったく別の、刺激的なスタートアップ ストーリーです。Dify は Tencent や政府機関とは一切関係がなく、純粋に市場主導型です。当社は透明性を追求し、すべての情報を公式 Web サイト、オープンソース コミュニティ、Discord を通じて共有しています。ご関心をお寄せいただきありがとうございます。ユーザーの皆様の混乱を解消することを目指しています。
引用:X
Dify公式は「当社のチーム メンバーの一部は Tencent Cloud の DevOps チームと協力したことがありますが、Dify の創作はまったく別の、刺激的なスタートアップ ストーリーです。Dify は Tencent や政府機関とは一切関係がなく、純粋に市場主導型です。」と完全にその主張を否定しています。
また、「当社は透明性を追求し、すべての情報を公式 Web サイト、オープンソース コミュニティ、Discord を通じて共有しています」とも主張しており、Difyは中国企業テンセントとの関係はないため、心配する必要はありません。
Difyは安全?
先ほどDifyは中国企業との関係はないと説明しましたが、Difyは安全なのでしょうか?結論から言うと「Difyは安全である可能性が高い」です。
原文:Dify is developed and operated by LangGenius, Inc., a company that adheres to U.S. laws and data policies, with a globally diverse team
和訳:Difyは、米国の法律およびデータポリシーを遵守するLangGenius株式会社によって開発および運営されており、グローバルに多様なチームが携わっています
引用:X
先ほどの投稿の一部分の引用ですが、「米国の法律およびデータポリシーを遵守する」というふうにあり、また実際にDifyの利用規約に「本規約は、法の抵触の原則に関係なく、デラウェア州の法律に準拠し、同法に従って解釈されます」との文言があります。
原文:11.1 These Terms will be governed by and construed in accordance with the laws of the State of Delaware, without reference to its conflict of laws principles.
和訳:11.1 本規約は、法の抵触の原則に関係なく、デラウェア州の法律に準拠し、同法に従って解釈されます。
引用:Dify利用規約
これらのことから「Difyは安全である可能性が高い」といえるのです。
Difyの4つのセキュリティリスクと対策方法
Difyは安全である可能性が高いとはいえ、セキュリティリスクは存在します。それらのセキュリティリスクの中で、Dify側の問題ではなく自身のミスが原因で起こるセキュリティリスクとその対策を具体的に挙げていきます。
①:APIキーの紛失
Difyでは、外部のAIモデルやサービスと連携するためにAPIキーを使用します。このAPIキーが漏洩すると、不正利用される可能性があり、予期しない課金やデータの不正アクセスにつながる危険性があります。
対策
・APIキーは環境変数など安全な場所に保管し、コードや公開リポジトリに直接記載しない。
・必要な権限のみを持つAPIキーを作成し、最小限のアクセス権限に留める。
・定期的にAPIキーを更新し、不要になったキーは速やかに削除する。
②:データセットの漏洩
Difyでは、ユーザーが学習データや対話ログを保存・管理することができます。しかし、適切な管理を行わないと、これらのデータが外部に流出するリスクがあります。
対策
・機密情報を含むデータは可能な限り暗号化して保存する。
・公開環境でのデータセットの取り扱いに注意し、アクセス制御を徹底する。
・定期的にアクセス権限を見直し、不要なデータは削除する。
③:情報漏洩リスクの高い外部ツールとの連携
Difyは外部のツールやサービスと連携可能ですが、セキュリティの脆弱なツールと接続すると、情報漏洩のリスクが高まります。
対策
・連携する外部ツールのセキュリティポリシーを確認し、安全性が保証されているもののみを利用する。
・可能であればOAuthなどの認証方式を活用し、パスワードを直接入力する形での認証を避ける。
・不要になった外部連携の設定は速やかに解除する。
④:不正アクセスのリスク
Difyのアカウントが不正アクセスを受けると、保存されたデータが盗まれたり、悪用されたりする可能性があります。
対策
・強力なパスワードを設定し、二要素認証(2FA)を有効にする。
・定期的にアカウントのアクティビティを確認し、不審なログインがないか監視する
・共有アカウントの使用を避け、必要なユーザーごとに適切なアクセス権限を設定する
まとめ
今回PROMPTYでは、Difyは安全かどうか、また中国企業のテンセントがバックにいるという噂の真偽とDifyのセキュリティリスクについて解説しましたが、いかがだったでしょうか。
以下がこの記事のまとめです。
- Difyのバックに中国企業テンセントがいるという噂があったが、Difyには中国企業テンセントとの関係はない。
- Difyは安全である可能性が高いツールであるが、セキュリティリスクは存在している。
最後に、PROMPTYでは他の生成AI関連のサービスに関しての記事も多く取り扱っていますので、是非ご覧ください。
