午後問1の(1)で自分はこのように回答しました。

マルウェアの感染拡大を防ぐため。

しかし間違い判定になり、解説を読んでも腑に落ちません。
これは正解判定になりますか?

https://www.ap-siken.com/kakomon/01_aki/pm01.html
模範解答と比較すると、踏み込みが甘いので良くて部分点……まあ微妙なところかと思います。

ここで何故、"感染拡大防止"ではなく"他の機器と通信させないため"なのかを考えてみましょう。
"ネットワークから切り離す"ことによってマルウェアは何を禁じられるのか、
マルウェアのどの様な特性を考慮して"ネットワークから切り離す"という行動をとったのか。
そこを解答することをIPAは求めているのです。
また、感染以外の悪影響の可能性についてはどうでしょう。

IPAの求めているものを理解し、それに従えることが重要であり効率も良いです。
何とかトレーニングを積んでいきましょう。

おそらく不正解、甘く判定されて部分点扱い、だと私は考えます。理由は2つ。

1つ目。
下線①ネットワークから切り離し、の時点で判明していることは、
・Zさんも不審メールを受信している
・添付ファイルを展開して実行してしまっている
の2つであり、
SSHを使う不審なプロセスの稼働が判明するのは調査後であるのに「マルウェア」と限定しているから。
被疑PCを（感染が確定していない被疑の時点で）ネットワークから切り離した目的を問うているのがこの出題だと考えます。

2つ目。
・マルウェア感染したZ-PCを起点に、社内の他のPCにもマルウェアが感染する
・感染したのはZ-PCだけだが、社内の他のPC上の情報を走査・収集される
・感染したのはZ-PCだけだが、FW・ルータを経由して社外に迷惑を及ぼす
など、マルウェア感染による被害例はいくつか想定されるのに「感染拡大」だけ指摘したのは限定しすぎだから。

ご回答ありがとうございました。自分の考えだけでマルウェアの回答をしていたのがミスだったのですね。
もう少し出題の何を求めているのかを考えながらやっていこうと思います。