ポイント4:追跡できるように
訪問者によってはページのトラブルや誤記などを報告してくれる場合があります。しかしながら、具体的にどのURLでどの部分がどう間違ってる、というところまでビシッと教えてくれるような神指摘は大変稀で、通常は「ここ間違ってますよ」ぐらいしか書かれてなかったりします。
この状況で遷移元のページが分かるなら、少なくとも訪問者が指摘する「ここ」が遷移元周辺であると推定できます。このように、具体的にいつ、どのサーバで、どのページから飛んできてフォームに入力したか、というあたりの実行時に関する情報は記録(ログ)しておくべきです。この情報自体はお問い合わせ内容とは関連ありませんが、フォーム自体の問題や「月曜の4時ごろフォームで連絡したと思うんだけど」といった電話の問い合わせと突合するための手がかりとしてとても役に立ちます。
プライバシーポリシー、クッキーポリシーをどう構成するかにもよりますが、あくまでもトラブルシュートを目的として追跡情報を保存する場合、一定の期間を過ぎたら消してしまうように運用する方が良いでしょう。
ポイント5:WAFは大切
フォームは外部からの入力データを受け取って処理を行います。処理はなんらかの前提条件をもとに組み立てられている場合が多く、前提条件を満たさないデータを受け取った時、しばしば想定外の動作をしがちです。その想定外の動き(いわゆる脆弱性)を利用して攻撃をしてくる悪意のある相手もいるので、その予防策として、WAF(Web Application Firewall)をかけておきましょう(WAFについては、「クラウド型WAFとセキュリティ対策ついて、ざっくりと整理してみました。」をご参照ください)。
もちろんWAFも完全ではありませんから、WAFがあればすべての攻撃に対処できるといったものでもありません。しかしながら、フォームの処理でうっかり抜けてた部分を防御する役に立ちます。