(1)HTTPSのサイトのURLフィルタリングは可能？

最近はほとんどのWebサイトはSSL/TLS通信です。
URL情報は、HTTPのデータ部分に入っています。なので、SSL通信では、IPアドレスなどのIPヘッダではフィルタができますが、URLでのフィルタができません。
このページも参照ください。
通信が暗号化されているので、URLフィルタリングに限らず、その通信経路上にあるUTMでは、セキュリティチェックができません。
たとえば、マルウェアのファイルが送られて来たり、攻撃コードが含まれていても、暗号化されて検知できないのです。
そこで、SSLインスペクションです。

(2)SSLインスペクションの動作概要

ここに詳しく記載しています。

(3)SSLインスペクションの方式

・インスペクションには、証明書インスペクション(Certificate Inspection)と、フルインスペクション（deep-inspection）があります。
・証明書インスペクションは、利用者のPCに証明書を入れなくていいので、導入のハードルが下がります。ただ、証明書（Certificate）ベースのインスペクションが機能するのは、WEBフィルタ、アプリケーションコントロールのみ。それ以外のAntiVirus、IPS、アンチスパムは、フルインスペクションが必要である。
・以下に違いを整理する。

2.1 設定の有効化

設定は簡単で、「ポリシー＆オブジェクト」>「IPv4ポリシー」で、該当するポリシーにて「certificate-inspection」または「deep-inspection」を有効にします。
①セキュリティプロファイルの部分の鉛筆のようなマークをクリック

②「deep-inspection」を選択します。

設定を有効にした画面です。
また、今回はwebサイトにアクセスしたい際のURLフィルタでフルインスペクションをします。よって、「Webフィルタプロファイル」も「defalut」でいいので有効にしておきます。

設定は以上です。

2.2 ルート証明書をPCにインストール

(1)実際に動作させてみましょう。
SSL/TSL（つまりHTTPS）を使っている銀行のオンラインバンキングのページや、Googleなどのサイトにアクセスしてみましょう。
ブラウザによってメッセージが異なりますが、IEの場合は以下のような警告メッセージが出ます。

(2)証明書を入れます。
FortiGateのルート証明書をまずは取得しましょう。
①FortiGateの画面から証明書を取得
a)SSLインスペクションを設定したポリシーのところで、マウスを合わせます。「確認」ボタンを押します。

b)または、セキュリティプロファイル > SSL/SSHインスペクション　どれかのプロファイルを選択し、「確認」を押す
c)証明書をダウンロードします。

②証明書のインストール。
a)これをダブルクリックして証明書をインストール開始
b)中略
c)証明書の場所は、明示的に「信頼されたルート証明機関」を選択しておきましょう。

d)セキュリティ警告が出ますが、「はい」でインストール

③インストールされた証明書の確認
a)Windowsの場合、検索窓で「証明書」と入れ、「ユーザ証明書の管理」を起動。または、Windowsのコマンドプロンプトで、certmgr.mscを実行
b)certmgrが起動します。
c)「信頼されたルート証明機関」の「証明書」の中から、FGTで始まる証明書がインストールされていると思います。

これで、証明書エラーが出なくなります。