重要リスク指標（KRI）（KRI）

重要リスク指標（KRI）とは、ひとことで言えば、リスクの増大や顕在化の兆候を早期に検知するための先行指標です。たとえば、「特権アカウントの不正ログイン試行回数の急増」「パッチ未適用システムの割合上昇」「退職予定者のデータダウンロード量の増加」などがセキュリティKRIにあたります。KRIが閾値を超えた場合、インシデントが発生する前にリスク対応策を講じることができるため、事後対応ではなく予防的なリスク管理を実現できます。KPI（業績評価指標）が「過去の成果を測る結果指標」であるのに対し、KRIは「将来のリスクを予測する先行指標」です。経営層へのリスクレポーティングにおいて、KRIとKPIを組み合わせて報告することが効果的です。