Webサーバへの攻撃は高度化、多様化しています。特に公開サーバは狙われやすくなっています。
サーバがセキュリティ面で安全かどうかを確認するために、セキュリティ診断をするほうがいいでしょう。
過去問(H26SC春午後2問2)では、「公開Webサーバの運用再開前に,脆弱性検査を実施することを推奨する」とあります。
診断には大きく2つあり、1つは「Webアプリケーション診断」、もう一つは「プラットフォーム診断」です。
この2つは、いくつかのセキュリティベンダーが診断メニューとして用意しています。
Webアプリケーション診断
Webアプリケーションの診断です。
ツールには、AppScan(使いやすいが高い)、OWASP ZAP、Burp Suiteなどがあります。
プラットフォーム診断
OSやミドルウェア(Javaを動かすTomcatやWebサーバのApacheなど)の診断
ツールには、NMmapによるPortScanや、有名なNessus(安い)があります。

しかし、自社で診断するのは、難易度が高いので、第三者の専門家に診断してもらうのいいです。

情報セキュリティスペシャリスト試験を目指す女性SE
でも、高そうですね。
たしかに。Webサーバの診断をする場合、1台であっても100万円を超えることはよくあるものです。
そこで、自社で実施する場合は、IPAには「安全なウェブサイトの作り方」というのが公開されており、こちらは、手動にはなるが、簡易診断が行えます。
簡易とはいえ、やる価値は十二分にあります。
https://www.ipa.go.jp/security/vuln/websecurity.html