解説

【正解: A】の理由
NSG は Layer 3-4 (IP / TCP / UDP) のステートフル パケット フィルタです。Inbound / Outbound のソース / 宛先 IP・ポート ベースで Allow / Deny ルールを優先度順に評価し、サブネットや NIC に関連付けできます。返答パケットは自動許可されます。

【他選択肢が違う理由】
- B. L7 URL フィルタ: アプリケーション層の URL 制御は Azure Firewall や Application Gateway WAF の領域です
- C. 物理機器管理: クラウドでは物理ネットワーク機器は Microsoft が管理します
- D. DDoS 緩和: DDoS 攻撃対策は Azure DDoS Protection の機能で NSG とは別サービスです