会社的なナニでCompTIAのSecurity+を受験。無事合格。
九割がたが四択問題だし、技術的には深いところまでツッコまれないのだけれど、ボーダーが高いのが厳しい試験でした。
今回はこんな感じで学習↓

1.テキストで概要つかむ。
日本語テキストはこの2冊しかないです。7年前なので古い情報ばかりですが、逆に言うとここに書いてある知識は押えておかないとまずいでしょう。

2.問題集と模試をやる
現行バージョン対応の問題集が去年出たので、それで勉強。

この問題集とあわせて、TACのオンライン模試も利用。オンライン模試は2回分180問を何度でも再受験できるのでだいぶ役立ちました。模試はバウチャーチケットとセットのものも販売されていて、それだとちょっと割安です。

3.問題集と模試で出てきた単語で、知らない単語から知識を広げる
問題集と模試は現行バージョンに対応してるので、ここからテキストに載ってない知識を得ていきます。

4.最近のセキュリティ動向をネットで調べてみる
ブログやニュースサイトをこまめに見るようにしてみます。有名どころしか見てませんが、
・セキュリティホール memo(http://www.st.ryukoku.ac.jp/~kjm/security/memo/)
・高木浩光氏のブログ(http://takagi-hiromitsu.jp/diary/)
・エフセキュアブログ(http://blog.f-secure.jp/)
・https://www.netsecurity.ne.jp/(https://www.netsecurity.ne.jp/)
・Panda Security Japan ブログ(http://pandajapanblogs.blogspot.com/)
などなど。セキュリティホールMEMOさんからいろいろリンクたどったりして枝葉を広げていきます。

(続きは後で書く予定)
(2010-05-03追記→)

5.試験本番
このテの資格試験は、テキストや模試と同じ問題がそのまま出題されることが多いです。CompTIA Security+も、上記1〜4の中で解いたものが出題されました。全く同一の問題と類題が、全体の3割くらい占めていた感じです。その他の5割くらいも、上記の対策をやっていれば十分に解ける問題だったので、8割近くは十分取れるでしょう。
残り2割程度が少し難しめの問題でした。
まず、正しい選択肢と誤った選択肢がハッキリとしている問題ではないものです。「外部ネットワークからの脅威からローカルPCを保護する手段として最も優先すべき対策を次から選べ」というような感じです*1。選択肢を個別に見ればセキュリティ対策としては全て正しいが、問題で提示された状況に照らし合わせた時にベストとなる選択肢を選ばなければいけないので、個々の技術の使いどころ・メリット/デメリットを把握しておかないといけないでしょう。
他には翻訳の都合で難しく感じる問題もありました。「ファイアウォールを適用する」といった選択肢が2つある問題があって意味不明なものもありました(英語の原文を見たら片方は「パーソナルファイアウォール」のことだった)。

このあたりの残り2割の問題がクセモノですが、ここを半分以上取れればボーダーには到達できるでしょう。

(←追記ここまで)

暗記モノだし概要レベルの知識を問われる試験でしたが、ひととおり勉強してみたことで、以前よりセキュリティに関する情報に対しての感度は上がったかなぁと感じます。あとはこれらの知識を活かして実務に役立てていけるようにするために、技術レベルでのスキルも磨いていきたいところです。
しかし試験代が高い・・・これが一番のネックかも。ゼロから情報技術者試験のセキュリティ試験の勉強するより、このSecurity+から段階的に習得していくとちょうどいいと思うんですが、この値段では気軽に受験できないのがきついですね。