ちょうど10年前，平成13年に，情報処理技術者試験に新しく「セキュリティ」の資格ができる，ということで盛り上がりました。
その名も，「情報セキュリティアドミニストレータ」。
初回は，試行錯誤で，「どんな内容が出るんだろう？」「ハッカーが受ける試験かな？」「どんなに難しいんだろう？」と，ドキドキしながら試験対策をし，受けに行きました。
試験は予想外に，どろどろした人間模様が出てきて，「私の部下は30人もいて，いちいち見ていられない。」と文句を言うＦ課長とか，利害関係の対立をうまくまとめるＷ主任とかが出てきて，とても生々しい，面白い問題でした。
高度なセキュリティ技術などの勉強していった内容はほとんど役には立ちませんでしたが，題意を読み取って問題文に合わせて答えていくと，何とか解けて，合格できました。
それから8年ぐらい行われた，情報セキュリティアドミニストレータという試験は，技術よりもそういった人間的な「マネジメント能力」を問う問題が多くでてくるものでした。企業で一番不足しているのは，「それぞれの企業でセキュリティ管理を行うことができる人材」であって，セキュリティ技術に詳しい人ではなかったからだと思います。
具体的な専門知識よりも，全体を見通せたり，人の話を聞ける（問題文から題意がちゃんと読める）人材かどうか，という適性的な部分を試していた感じがしています。
その後，平成18年にできて，3回しか試験が行われなかった「テクニカルエンジニア（情報セキュリティ）」の試験は，そういったアドミニストレータ的なところではなく，セキュリティ技術の専門家のために新設された試験でした。
この試験では，セキュリティ技術の専門的なところはもちろん聞かれたのですが，やはりそれだけではなく，セキュリティマネジメント的な要素や，会社全体を見通したセキュリティ，というのも聞かれました。
そして，2つが合わさってできたのが，「情報セキュリティスペシャリスト」という試験です。
名前の通り「スペシャリスト」なので，情報セキュリティの専門家，という位置づけではあります。でも，マネジメント的な要素もかなり問われていて，以前は情報セキュリティアドミニストレータ試験で問われていた内容も，かなり含まれています。
情報セキュリティという技術の性質上，技術だけだと本質を見失う，という部分が大きいからだと考えています。そして，技術的な難易度は，テクニカルエンジニア（情報セキュリティ）に比べると下がっています。
そんな歴史的な流れと，今の問題を見ていると，私は，情報セキュリティスペシャリスト試験というのは，「情報セキュリティの管理をできる資質を持っている」ことを試しているんじゃないかな，と感じています。
具体的なセキュリティの脅威や攻撃は，それほど深くは聞かれません。
それは，実際に問題が起こったときに調べればいいですし，どんどん新しくなりますので，ただ知っていることに意味がないからだと思われます。
逆に，システム開発のことや，ネットワークやデータベース，監査など，セキュリティ以外の部分は広く浅く聞かれます。
セキュリティの問題，というのは，セキュリティ技術単独で終わることは少なく，いろんなことが複雑にからんでくることが多いからだと考えられます。
そして何より，「全体が見えて，人の話が聞けること」は，すごく重視して聞かれていると感じています。
ペーパーテスト，という限界の中で，具体的な会社の状況や人間模様を描いて，その情景から全体を大局的に見て，適切な判断を下す，という能力を，最大限に聞こうとしている試験だと思います。
ですので，知識を詰め込んでも，過去問を全部覚えても，あんまり合格には直結しません。
逆に，全体像を見ることができて，問題文がきちんと読めて，周辺分野の広く浅い知識があれば，それほど多くの内容を勉強しなくても，合格出来ます。
そしてその力は，意外と，現場でセキュリティ管理が適切にできる能力と一致します。
単なる試験，ではあるのですが，現場で必要な知識や適性が，合否に大きく影響を与えています。
そういった意味も含めて，情報セキュリティスペシャリストという試験は，個人が取って活用する，というよりも「会社がとらせたい」試験です。
この試験に受かるような人を管理者に置けば，会社で適切なセキュリティ管理ができる可能性が高いです。
官公庁などの仕事では，情報セキュリティスペシャリストを持っている人をメンバーに入れることを要求されることもあります。
システム開発の現場では，こういった人がプロジェクトに1人いれば安心です。
こんな感じの試験なので，情報セキュリティスペシャリスト試験の受験は，万人におすすめできるものではありません。
適性的な向き不向きの部分も結構大きいですし，知識を身につければ合格出来る，という類の試験ではありません。
資格試験としての評価も，他のスペシャリスト系に比べると微妙なので，単独だと弱い感じです。
セキュリティ技術の専門家，というのを示すためでしたら，ネットワークスペシャリストと共に取得することをおすすめします。
ただ，それなりの適性があって，応用情報技術者試験からのステップアップであれば，最初の高度区分として受けてみるのはいいと思います。
過去問を解いてみたりして，自分がどう感じるか，で判断してみてください。
自分の資質や現在の状況を見極めて，受ける試験を決めていくのをおすすめします。