【正解: A / B / C】の理由

Application Gateway WAF v2 では SSL Policy で TLS 1.2 以上のみ許可、Listener レベル mTLS 構成、WAF Policy での OWASP CRS + Custom Rules 適用が標準のセキュリティ機能として提供されます。これらを組み合わせて多層防御 (Defense in Depth) を構築するのが本番運用の標準パターンです。

【他選択肢が違う理由】

• D: L4 DDoS 緩和は Azure DDoS Protection の役割で、Application Gateway WAF (L7) では扱いません。
• E: Backend インスタンスのパッチ適用は Update Manager / VM 管理機能の領域で、Application Gateway の責務ではありません。

【参考】

WAF カスタマイズ