Hát ha már igy kiemeled az apache http-t, én eléggé biztos vagyok benne, hogy az iis az elmúlt mondjuk 5 évben köröket ver rá biztonsági hibák száma terén. (mármint sokkal kevesebbet tartalmaz az iis :)
Egyébként mindkettőt üzemeltetek, semmi komoly gond nincs egyikkel sem.