タイトルの答えですが、「スキャンがL3SWを通過しないため」ってどうですかね？
ログはL3SWに繋がってるNSMセンサで取ってるので、宛先アドレスログにはそもそも記録されないということかと思って解答しましたが、他スレの皆さんの解答を見てると違うかなぁと思いまして...

すみません、まとめて投稿し直そうと思ったんですが削除できなかったので追記です。


同じく問２設問４(2)ですが、「VLANを設定する（ドメインを分割するため）」は解答としてどうでしょうか？
P7の二、三行目に「L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANの設定はしていない」とあったので、出題者の意図的にはある機能を有効に使おうってことなのかなって思って解答しました。

もしよければ皆さんの解答例やご意見をお聞かせください。

よろしくお願いします。

パッチを適用する
ではないでしょうか？

同じくVLANでの適切なセグメント分割にしました。
TCP445を閉じるのも考えましたが問題文に普段より多くの445の通信が見つかったとあったので閉じてしまうと業務通信にも影響あるかなと思い、あとVLANは設定してないとわざわざ書いてたのでVLANにしました。

VLAN分割だけではブロードキャストが届かないだけで、ACL制御をしないとポートスキャンは可能と思います。また、同じVLAN内のPC同士では無意味ではないでしょうか？

みなさんご意見頂きましてありがとうございます。
確かに同じVLAN内のPCの感染は防げませんが、影響範囲を狭める事は可能ですので効果はありそうです。

仰るようにポートスキャンを防げないので完全な解答では無さそうですね...。

プライベートVLANを設定すれば、
同セグの通信を制御できるのではないでしょうか？

とりあえずitecの解答例では「PCを分離するようにL2SWにVLANを設定する」とのことでした。
公式の解答例が待たれます。