【正解: A】の理由

ExpressRoute Direct の MACsec (IEEE 802.1AE) は物理リンク レベル (L2) でデータ プレーンを暗号化する機能で、顧客の Edge ルータと Microsoft Edge ルータ間の通信を AES-128 / AES-256 で保護します。これにより、専用回線でも追加の L2 暗号化が必要な高セキュリティ要件 (金融 / 公共 / 防衛) に対応できます。

【他選択肢が違う理由】

• B: BGP 認証は MD5 や TCP-AO で、MACsec とは別概念です。
• C: VLAN タグは MACsec の機能ではありません。
• D: IPsec は L3 暗号化で、MACsec の L2 暗号化とは異なる階層です。

【参考】

ER MACsec