(1)と(2)の回答って違和感感じませんか？

(1)更新されてないことをどうやって確認するか
自分はウィルス対策ソフト定義を更新してスキャン
公衆lanの利用の有無 にしました

持ち出している時点でそれ以降の更新は入らないと考えて最新ではない前提で書きました



(2)pc1つ1つをvlanで区切る方法って現実的に出来ますかね？
445/tcpの受信禁止の方が現実的かと

(1)
更新されていない場合は最新の定義ファイルに更新することで
よろしいかと思います。
マルウェア対策ソフトがマネージャによる集中管理方式では
ない場合は、外部に持ち出しても個別にベンダのサイトから
マルウェア定義ファイルを取得可能と思われます。

(2)
一般的なVLANではなく、プライベートVLANを想定していると
推測されます。

pixさん ありがとうございます

プライベートvlan 把握していなかったので勉強になりました。

(1)はいかなるネットワークにも接続していない状態で定義ファイルや更新が最新か 
実際にどうやって確認すればよいか思いつかないのが違和感感じてます
定義ファイルはバージョン確認出来ますが
windowsはupdateした日時はすぐに分かりますが個別の適用状況はすぐには分からないので

1分前に配信されたかもしれない更新が当たっていないか確認するのかなり手間かと

問が「社内LANに接続する前に実施すべき処置を2つ上げろ」なら
定義ファイルの更新、スキャン。になるのでしっくりくるのですが、
「接続可否を判断するチェックを2つ上げろ」で、
Windowsが最新かどうか(ただし、NWに繋がずに確認)。 だと面倒すぎて現実味がないんですよね。

PCの定義ファイルの状態ですが、
・ある程度のバージョンを目視で確認
・MDMの機能などを利用して機械的に判定
などが考えられます。
全て人間で行うわけではないと思います。

さらに厳密な方法として、無線LANに接続する前に
有線LANの検疫ネットワークに接続し、検疫サーバ・治療サーバで
処置をうけるといった方法も考えられます。

pixさん ありがとうございます

MDMで端末の状態も監視できるのですね。アプリ管理と利用情報だけかと思いました。

自分が思いついた方法以外に、色々な方法があるご意見いただけて嬉しく思います。
最後に気になるのは、
「社内LANに接続する前に、公衆LANで更新を行う」
「検疫NWを用意し、検査を行う」
などが、正解扱いになるかどうか。です。
中の人次第ですが、おそらく期待する回答ではないため誤りになるかと。
となると、実務と乖離した問、回答のように思えます。