模範解答は「エージェントによって夜間にarpコマンドの実行を検知したら当該PCをネットワークから隔離する」ですが、

arpでなくても、pingでも正答になるでしょうか。

pingよりarpのほうが使用頻度が低いコマンドではありますが、
夜間に従業員がいない事が前提なので、pingであってもマルウェアが実行した不審な動作と言える、と考えています。

もしarpじゃなくpingにした場合、（2）、（4）（特に4）の活動に必要な情報を抜かれていることに気づけないので、一番根元を叩きに行くべきなのでarpを打たれた際にネットワークから隔離してpingが飛ばないようにすることです。pingが飛んでから隔離したところで、他のPCのことがわかっているわけなので、もうpingの発信元は用済みに近いのでダメなのです。

pingはパーソナルファイアウォールでブロックされている可能性があります。
arpはパーソナルファイアウォールではブロックできず、またリプライも
よほどのことがない限り禁止されません。
そのため、起動しているPCの発見にはarpが適していると考えられます。

ginsanaさん、pixさん、ありがとうございます。よく理解できました。