高度試験の共通問題(午前I試験)には免除制度なるものがあるので、
できることなら免除制度を駆使して、セキュリティの学習に専念しましょう！

免除の条件は以下のいずれか。(有効期間は2年)

1. 応用情報技術者試験に合格！
2. 他の高度試験に合格！
3. 高度試験の午前I試験を突破！(当該試験が不合格でもOK！)

なお、共通問題(午前I試験)を免除で高度試験に合格した場合も、
2.の条件が適用され、免除期間が延長されるそうです！
(わく☆すたブログのコメントより)

試験要綱Ver1.2 - 情報処理技術者試験センター (18/37)
高度午前1の免除について: わく☆すたブログ

情報セキュリティスペシャリスト試験の出題範囲を大雑把に分類すると、
以下のようになります。

• セキュリティ技術
• セキュリティマネジメント
• セキュアプログラミング

上記以外にもネットワークやデータベースなどの関連技術も出題されますが、
午後の問題において、上記の内容が主題となっています。

セキュリティ技術だけでも大変なのに、
マネジメントやプログラミングまで…と思うかもしれませんが、
実はすべての出題範囲を網羅しなくても合格ラインには十分到達できます。

以下は、午後の試験のだいたいの傾向です。

• 午後I(全4問中2問解答)
• セキュリティ技術の問題その1
• セキュリティ技術の問題その2
• セキュリティマネジメントの問題
• セキュアプログラミングの問題
• 午後II(全2問中1問解答)
• セキュリティ技術がメインの複合問題
• セキュリティマネジメントがメインの複合問題

応用情報技術者試験の午後の試験と同様に、
ある程度決まったパターンの出題がされていて、
なおかつ、解答する問題を選択することができます。

そいうわけで、セキュリティ分野の中でも、
すべての出題範囲を無闇に手をつけて中途半端になるよりは、
得意分野や業務経験などから自分に適した分野をあらかじめ選択し、
重点的に学習する範囲を絞り込むことをオススメします。

★補足★
上記の傾向は、試験制度が変わった平成21年度春期から平成22年度春期までの
3回の試験の傾向でしたが、平成22年度秋期の試験では、
午後IIのほうでセキュアプログラミングの問題が出題されたようです。
(そのうち、傾向の分析を書き直してみます。)

★補足★
平成25年度秋期の試験では、午後I試験の出題数が変更されるようです。
応用情報技術者試験及び一部の高度試験における出題数の変更について

セキュリティ技術の内容は、暗号化、認証、アクセス制御、攻撃手法など、
実はネットワーク関連の技術(ネットワークセキュリティ)がほとんどです。

なので、ネットワークの仕組みがよくわかっていないと、
セキュリティ技術を理解するのにけっこう苦労すると思います。

午前IIの出題においても、半分以上の問題は、ネットワークセキュリティ、
もしくは、ネットワークです。

そういうわけで、セキュリティの学習を始める前に、
まずはネットワークの学習をすることをオススメします。

オススメサイトのネットワーク復習用サイトなどを参考に、
TCP/IPやLAN、レイヤーなどのネットワークの基本を身につけましょう！

逆に言えば、ネットワークさえわかっていれば、それほど難しい試験ではないので、
秋に試験のあるネットワークスペシャリストを目指している人が、
ついでに春の試験で情報セキュリティスペシャリストを受験してみれば、
案外合格してしまうかもしれません。(経験者談)

午後に出題されるセキュアプログラミングは、
以下のいずれかの言語で出題されます。

• Java
• C++
• ECMAScript

基本情報のように言語を選択できると言うわけではないので、
言語を絞り込んで学習できないのが、ツライところです…。

しかも、JavaではアプレットやServletといった形で出題されるなど、
より実務に近い内容となっており、各言語の基本文法を覚えてる程度では、
太刀打ちできないように思えます。

そういうわけで、セキュアプログラミングは対策が非常に難しいので、
試験の選択科目としては、あまりオススメできません…。

情報セキュリティスペシャリスト試験（SC）で出題するプログラム言語の変更について

★補足★
平成22年度秋期の試験では、Java+SQLのコードの問題が出題されてました。
ということで、上記の言語に加え、SQLの知識も多少は必要になりそうです。