AXIVIONによる解析

Kontron

Axivionで実現する CRA コンプライアンス

100%

CRA 準拠

150 万行以上

のコードを解析

15,000 以上

の対象ソースコードファイル

Kontron Europe GmbH について

Kontron は、スマートIoTソリューション分野におけるグローバルリーダーです。自動化された産業オペレーションや、よりスマートで安全な輸送システムから、先進的な通信・コネクティビティ、医療、太陽光、再生可能エネルギー分野まで、Kontronはハードウェアおよびソフトウェア、さらに電子機器製造サービスに至る幅広い技術と製品を提供し、顧客に付加価値をもたらしています。

Kontronは、高品質で長期供給が可能な競争力のあるマザーボードの包括的なポートフォリオを提供しています。これらの製品はドイツで設計され、ヨーロッパで製造されています。コンパクトなMini-STXからフルサイズのATXフォームファクタまで幅広いラインアップを揃え、産業オートメーション、POS/POI、キオスク端末、デジタルサイネージ、医療、カジノゲーム、映像監視、交通など、多様な市場分野におけるさまざまなアプリケーション要件に対応します。Kontronのマザーボードは、最新のプロセッサおよびチップセットプラットフォームに対応し、先進的なテクノロジーコンポーネントを採用しています。

Axivion は、サイバーセキュリティ規制への対応を支援するだけではありません。導入してわずか数週間で、コード品質の向上を実感しました。コードの理解や保守が容易になり、その結果としてソフトウェアの処理の流れも把握しやすくなりました。

Nikolas Schütz 氏, Kontron Europe GmbH ソフトウェア開発エンジニア

Kontron が Axivion を採用した理由

Axivionは、EUサイバーレジリエンス法 (CRA) および IEC 62443 への準拠を支援

高度にカスタマイズ可能で、Tianocore EDK2のルールセットのチェックにも対応

オンプレミス環境で利用できるソリューションが必要

「Made in EU」のソリューションと、優れたローカルサポート

IEC 62443 と EUサイバーレジリエンス法（CRA）への準拠をどのように実現したのか

多くの企業と同様に、Kontron のプロジェクトチームもこの課題に直面しました。サイバーセキュリティ標準および規制への準拠が、適切な静的コード解析ツールの検討を始めるきっかけとなりました。しかし同チームは、長年にわたり顧客から信頼されてきた自社の高い品質基準を妥協するつもりはありませんでした。求めていたのは、単に静的コード解析ツールを導入することではなく、「最適なツール」を見つけることでした。

IEC 62443 および CRA が定める要件を満たすことに加え、必須条件として次の点が挙げられていました。

クラウドベースではなく、サードパーティ契約を尊重できるオンプレミスのツールであること
Tianocore EDK2 のルールセットも検査できること
欧州製 IT の活用を推進する団体 IT aus Europa の創設メンバーの一社として、理想的な静的コード解析ツールは「Made in EU」であること

広範な調査と他ツールとの比較検討の結果、すべての要件を満たした唯一のソリューションが Axivion でした。

プロジェクト構成

産業向け x86 マザーボードを対象とした、Tianocore EDK2（AMI AptioV）ベースの FW プロジェクト（UEFI-BIOS）

BIOS 開発者 5 名のチーム
OS: Windows 10
コンパイラ: MSVC 2015/2019
IDE: AMI VisualeBios (Eclipse) および Visual Studio Code

IEC 62443 vs. CRA

IEC 62443 と EUサイバーレジリエンス法 (CRA) は、デジタル製品およびコネクテッド製品のサイバーセキュリティを強化するという共通の目的を持っています。しかし、その適用範囲、詳細度、そして法的性質には違いがあります。

IEC 62443

IEC 62443 は、産業用オートメーションおよび制御システム（IACS）を対象とした国際標準シリーズです。製品およびシステムのライフサイクル全体にわたり、詳細なサイバーセキュリティ要件を定義しています。この規格では、安全なコーディングの実践を明確に扱っており、脆弱性の特定やセキュアな製品開発の手法として、静的コード解析などの技術の活用を推奨しています。特にサプライチェーンに関する要求事項の中で重要な役割を果たします。

EUサイバーレジリエンス法（CRA）

CRA は、EU 市場に投入されるデジタル要素を含む幅広い製品に適用される、EU の強制力を持つ規制です。この規制では、セキュア・バイ・デザインによる開発、脆弱性管理、そして迅速なセキュリティアップデートといった基本的なサイバーセキュリティ要件が定義されています。ただし、これらを実現するための具体的な技術的手法までは規定していません。

IEC 62443 と CRA は相互補完的な関係にあります。IEC 62443 は、静的コード解析などを含む具体的で詳細な技術ガイダンスを提供します。これにより、メーカーは CRA が定めるより高位で法的拘束力のある要件への適合を実証しやすくなります。

成功の鍵となるカスタマイズ

新しいツールを導入する際には、初期設定のための作業が必ず発生します。特に Axivion のような高度なソリューションの場合はなおさらです。しかし、この柔軟性こそが、Kontron のチームが妥協することなく、自分たちのニーズに正確に合った環境を実現することを可能にしました。

導入プロセス全体は Axivion のエキスパートによってサポートされました。彼らはアウクスブルクの Kontron オフィスに 2 日間常駐し、開発者とともにセットアップ作業を進めました。その結果、わずか 1 日半ほどで Kontron の開発環境への基本的な統合が完了し、チームはルールセットのカスタマイズ作業へと移行することができました。特にこのフェーズにおいて、専門家によるサポートは非常に高く評価されました。

Axivion のエキスパートによる高品質なサポートと迅速な対応には非常に感銘を受けました。特に、Axivion で解析するための EDK2 ルールセットの実装および開発においては、Qt Group との連携を大変高く評価しています。

Christian Stock氏, Kontron Europe GmbH ソフトウェア開発エンジニア

CRA 対応のその先へ：クリーンで保守性の高いコードを実現

Axivion が Kontron のワークフローと開発プロセスに統合されると、主な目標であった IEC 62443 および CRA への準拠はすぐに達成されました。しかし開発者たちは、すぐそれ以外にも多くのメリットがあることに気づきました。詳細な解析により、コーディングガイドラインがより一貫して適用されるようになり、コード全体の見通しや構造が整理されていきました。

さらに、ソフトウェアの可読性や構造が改善されただけでなく、Axivion の標準ルールセットに含まれる McCabe 複雑度の問題を特定できるようになったことで、コードの理解もしやすくなりました。現在 Kontron では、EDK2 のルール（スタイルおよびセキュリティチェック。MISRA ガイドラインを一部反映）への準拠を確保するために Axivion を活用しています。また、新規プロジェクトだけでなく既存コードの保守にも適用しており、進捗の追跡には GitLab CI/CD を用いた週次の自動ビルドが利用されています。

こうした成果を受けて、Kontron では Axivion の活用を今後さらに多くの部門へ拡大する計画です。