ある企業がAzure VNet内のSubnet-AにあるVM-1からSubnet-BにあるVM-2へのTCP/443通信が失敗している問題を調査している。両サブネットにはそれぞれNSGが適用されている。この問題のトラブルシューティング手順として正しいものを2つ選択してください。

正解: B, C

正解はBとCである。B：Network WatcherのIPフロー検証はVMのNICに適用されているNSGルールがどの判定をするかを即座に確認できる最も効率的な診断手段であり、送信元・宛先・プロトコル・ポートを指定するだけで適用ルールが分かる。C：NSGはサブネットレベルとNICレベルの両方に適用でき、トラフィックは送信元サブネットのNSG（送信規則）→宛先サブネットのNSG（受信規則）の順に評価される。Subnet-AのNSGで送信が拒否されている場合もSubnet-BのNSGで受信が拒否されている場合もあり、両方を確認する必要がある。選択肢DはVM-2のNSGのみを確認するとあるが、VM-1が属するSubnet-AのNSGの送信規則も関与するため不完全である。選択肢AはAllowVnetInBoundがデフォルト規則として存在するが、これより高優先度（低い数値）のカスタム拒否ルールがあればオーバーライドされるため、常に許可されるわけではない。