Webサーバへの攻撃は高度化、多様化している。
自分達のサーバが安全かどうかは、第三者の専門家に診断してもらうのがいい。

過去問(H26SC春午後2問2)では、「公開Webサーバの運用再開前に,脆弱性検査を実施することを推奨する」とある。
第三者である必要はないが、自前でもいいので診断をしよう。
しかし、それは以外に難しい。専門知識が必要なのだ。
そこで、ツールを使うといいだろう。
プラットフォーム診断であれば、Nessusという有名なツールや、WebアプリであればBurpなどがある。
また、IPAには「安全なウェブサイトの作り方」というのが公開されており、こちらは、手動にはなるが、簡易診断が行える。簡易とはいえ、やる価値は十二分にあると考えている。
https://www.ipa.go.jp/security/vuln/websecurity.html