今回の構成は以下のような流れでリクエストが送られてくると思います。
　-リクエストの流れ：クライアント→ALB→サブネット内のEC2インスタンス

この時、サブネットのネットワークACLから見た時、通信元のIPアドレスはALBになるため、フィルタリングに指定すべきIPアドレスは”当該のIPアドレス”ではなく、ALBのIPアドレスになるのではないでしょうか。
※”当該のIPアドレス”とはクライアントのIPアドレスのことと認識しました

正解選択肢：「EC2インスタンスがあるサブネットのネットワークACLで、該当のIPアドレスの拒否ルールを追加する」

どなたかコメントいただけると助かります。