Paul Oertel

Experience

• 

  Panache dispatched to Citicorp, Japan

  Mar 1988 - Mar 2000

  Information Security Officer

  I familiarized myself with the principles of security by being heavily involved in rewriting the company's local security policy manuals for UNIX, Windows NT, MVS, VAX, LAN, and Lotus Notes. Implemented security monitoring software for UNIX and Windows NT. Performed daily security log review for Windows NT, UNIX, VAX, Lotus Notes, PC/MVS, MVS, and SecurID. I administered SecurID for remote access. I served as an intermediary between regional auditors and the local data center during the LAN team audit. Performed account management for system and emergency IDs on production systems. I was responsible for managing the Information Security Unit's Windows NT servers. I dealt with various software and hardware vendors for purchasing security tools. I developed implementation plans and user guides for security tools. I coordinated local self-assessment efforts on a quarterly basis. During this time I acted as liaison between external auditors such as the FSA and OCC and internal IT operations teams. > Key Accomplishments:Authored security policy for UNIX, Windows, AS400, MVS and VAX Show less

• 

  シティコープ, ジャパン（株式会社パナシュからの派遣）

  Feb 1996 - Feb 1998

  Information Security Officer

  UNIX、Windows NTの、MVS、VAX、LAN、およびLotus Notesのシティコープジャパンの各システムセキュリティポリシーを書き換える作業に深く関与したことにより、セキュリティの原則を学びました。UNIXとWindows NTのセキュリティ監視ソフトウェアを導入しました。Windows NT、UNIX、VAX、ロータスノーツ、PC / MVS、MVS、とSecurIDのセキュリティログのレビューを日課として行い、リモートアクセス用のSecurIDを管理していました。LAN監査時には地域監査人と行政監査人及びに日本のデータセンター間の仲介を務めていました。プロダクションシステムのシステム管理や緊急IDのアカウント管理を行いました。また情報セキュリティチームのWindows NTサーバーの管理を担当していました。セキュリティツールを購入する際には数多くのソフトウェア、ハードウェアのベンダーとの窓口となりました。セキュリティツールの実施計画とユーザーガイドを作成しました。四半期ごと行われるシティコープジャパンのシステム自己評価の作業を取りまとめました。金融庁や米国のOCCといった外部監査人と社内IT運用チームの連絡役を務めました。主な成果：UNIXやWindows、AS400、MVSおよびVAXのためセキュリティポリシーを作成 Show less

• 

  ING Barings, Japan

  Apr 2000 - Aug 2000

  Information Risk Manager Officer

  I performed gap analyses on Windows NT and custom applications to identify areas non-compliant with corporate security standards. I performed daily security log review for Windows NT and Internet usage. As a major project I reorganized the Windows NT work environment to make control and monitoring NT Groups and file access permissions easier by assigning group and resource owners. I worked with Internal Control to clear audit points against the organization. I performed account management for system and application IDs on production systems. As a security officer my duties included reviewing all external link requests to determine whether they should be approved or not. I developed a gap analysis checklist for Windows NT and for applications used within the production environment. I advised on the development of web browser security standards.> Key Accomplishments:Completed an entitlement review for all shared data folders Show less

• 

  ING ベアリングズ、ジャパン

  Apr 2000 - Aug 2000

  Information Risk Manager Officer

  企業のセキュリティ標準に準拠していない設定を特定するためにWindows NTおよびカスタムアプリケーションのギャップ分析を行いました。Windows NTおよびインターネット利用のセキュリティログレビューを日課として行いました。主要なプロジェクトとしては、社内で共有されているデータとその本来の所有者を交通整理することによってWindows NT制御と監視の作業環境の再編成を行いました。これによりWindows NTグループとファイルのアクセス権限が容易になりました。プロダクションシステムのシステム管理およびアプリケーションIDのアカウント管理を行いました。また外部からのリンク要求を承認すべきか否かを判断するために、それらのすべてのリクエストを精査するのもセキュリティーオフィサーとしての業務の一部でした。その他の業務としては、Windows NTとプロダクション環境用アプリケーションのためのギャップ分析チェックリストを作成したりWebブラウザのセキュリティー規格の開発に助言行いました。主な成果：すべての共有データフォルダーの資格審査を完了

• 

  Panache dispatched to Citigroup Services (Japan), Ltd

  Dec 2000 - Feb 2005

  Information Security Officer, Security Project Manager

  My primary responsibility was as a technical project manager to Citigroup, Japan subsidiaries for security projects. I supported various Citigroup businesses in bringing their technology departments up to corporate security standards. I performed in-depth evaluation of security tools to advise internal clients on security purchasing decisions. I served as an intermediary between regional and government auditors and the local data center during technology audits. I led a team of 16 security staff at 2 different locations to perform log review and entitlement review on over 2000 systems that included mid-range servers, databases and mainframes.I executed detailed configuration gap analyses on Windows, AS/400, Solaris, AIX and Linux Server systems to identify vulnerabilities. I performed application assessments to identify security weaknesses in custom and commercial applications during development and implementation stages as well as in legacy applications.I developed a low cost, low risk, flexible, cross-platform log management system that provides automatic reporting and bilingual support for UNIX, Windows, and Custom Application Logs. I administered the 16 Windows security servers under the Information Security Unit's control.> Key Accomplishments:Developed a cross-platform solution for collecting security event log data from 1500 servers Show less

• 

  シティグループサービスジャパン株式会社（パナシュからの派遣）

  Dec 2000 - Feb 2005

  Information Security Officer, Security Project マネージャー

  シティグループの安全対策を担う子会社においてテク二カルプロジェクトマネージャとして従事しました。数多くあるシティグループ社内業務内のテクノロジー部門においてその安全基準を社内スタンダードに適合させるためのサポートを行いました。内部クライアントがセキュリティー関連の購買を行う際にセキュリティツールの詳細な評価を行いました。技術監査が行われた際には地域の監査人と行政監査人、ローカルデータセンター間の仲介を務めていました。ミッドレンジ・サーバー、データベースやメインフレームを含め2000以上のシステム上のログレビューと資格審査を行うために2拠点において16人のセキュリティスタッフから構成されるチームを率いていました。脆弱性を識別するために、Windows、AS / 400、Solaris版、AIXおよびLinuxサーバーシステム上で詳細な設定ギャップ分析を行いました。カスタムアプリケーション、商用アプリケーションおよびにレガシーアプリケーションの開発、実装段階ににおけるセキュリティ上の弱点を明らかにするための評価を行いました。UNIX、Windows、およびカスタムアプリケーションログの自動レポートを2言語で行うことができる低コスト、低リスク、柔軟なクロスプラットフォームのログ管理システムを開発しました。情報セキュリティユニットの制御下で、16 Windowsのセキュリティサーバの管理業務を行っておりました。主な成果：2000以上のサーバーから、セキュリティーイベントログデータを収集するためのクロスプラットフォームソリューションを開発 Show less

• 

  Citigroup Services (Japan), Ltd

  Jan 2005 - Nov 2007

  Japan Engineering Team, Manager

  I investigated solutions to address security and privacy issues raised by Japan’s Personal Information Privacy Law. Perform feasibility studies to address Business security requests. Support Japan’s locally developed log management and entitlement review systems. Locally certify products to meet region specific needs. Liaise with Global counterparts and participate in Global security initiatives. Execute Japan’s Information Security Fast Track projects.> Key Accomplishments:Lead Engineer for Citi Japan's security fast track efforts. Show less

• 

  シティグループサービスジャパン株式会社

  Feb 2005 - Nov 2007

  Japan Engineering Team, マネージャー

  日本の個人情報保護法により提起されたセキュリティとプライバシーの問題に対処するための解決策を検討しました。ビジネスの安全対策要求に対処するためのフィージビリティ・スタディを実行しました。シティグループジャパンが独自に開発したログ管理と資格審査システムをサポートしていました。地域固有のニーズに合わせた製品認定を行っておりました。世界中のパートナーと連携し、グローバル・セキュリティ・イニシアチブに参加していました。日本の情報セキュリティファーストトラックプロジェクトの実行にあたりました。主な成果：日本のセキュリティファーストトラックプロジェックトにおけるリードエンジニア。

• 

  Citigroup, NA

  Nov 2007 - Jul 2009

  Security Architecture and Assessment, Engineer

  I advised Infrastructure and Business Engineering teams on security policies, standards and solutions. In 2008, I was temporarily assigned to the Data Protection Engineering team to co-lead the evaluation and selection of security solutions for the control of USB and Wireless Ports on end user computers. As an SAA team member I revamped the global security assessment process for infrastructure products. Using the new process I reviewed Citigroup Standard Build documentation and processes for compliance with Citigroup policies and TDLC Standards. > Key Accomplishments:Authored Global Security Event Logging StandardCo-lead for global TDLC assessment procedure and checklistCo-lead engineer of removable media (USB) security solution Show less

• 

  Citi

  Nov 2007 - Jul 2009

  Security Architecture and Assessment, Engineer

  セキュリティポリシー、セキュリティーの標準化およびソリューションについてインフラチームとビジネスエンジニアリングチームに助言を行いました。 2008年にはエンドユーザーのコンピュータ上のUSBと無線ポートの安全確保のため、制御ツールの検討と選択の業務を行うデータ保護エンジニアリングチームの統括業務に割り当てられました。SAAチームの一員として、インフラストラクチャ製品に対応できるようにグローバルセキュリティ評価プロセスを更新しました。新しいプロセスを使用して、シティグループ社内の指針とTDLC規格に準拠するためのインフラストラクチャソフトウェアやアーキテクチャーのドキュメントとプロセスの評価を行いました。 主な成果：グローバルセキュリティイベントログスタンダードの作成グローバルTDLCの評価手順とチェックリストのための共同リードリムーバブルメディア（USB）セキュリティソリューションの共同リードエンジニア

• 

  Citigroup Japan

  Jul 2009 - May 2013

  Security Architecture and Assessment, Engineer

  I continued my role as security advisor to infrastructure and business engineering teams as well as performing security assessments of infrastructure solutions concentrating my efforts on solutions that originate in Asia or have significant impact to Citigroup businesses in Asia. After being tasked to write a report on Cloud Computing Security within Citigroup to the FSA my role expanded to include Cloud Computing assessments for cloud solutions providers in Asia. I leveraged my previous experience with USB security solution engineering to execute a proof of concept in Japan using iPads in Citibank branches in 2011. Following on this experience I co-lead an engineering effort to develop a global mobile device management solution for Citigroup and implemented the solution in the Asia Pacific region. Finally, I functioned as a liaison between Japanese software vendors and Citigroup global engineering teams including Japanese to English software product translation as necessary. Due to a lack of local mobile operations staff in Japan I supported local iPad users with application and OS upgrades and troubleshooting.> Key Accomplishments:Authored report on Cloud Computing solutions with Citigroup for FSALead Engineer for the Citibank Japan Branch iPad PilotBegan an MDM evaluation and certification projectAuthored iOS hardening guidelinesCloud assessments of NRI ISTAR, NRI Bestway C-TAX and MixLab, Home Depot Branded Card Service Show less

• 

  シティグループジャパン

  Jul 2009 - Mar 2016

  モバイル事業の分野で培った経験を活かし、新設されたモバイルセキュリティーエンジニアリングチームに配属されました。エンジニアリングチームの一員としてモバイルのセキュリティーを構築するためのディバイス、iOS,アンドロイドオペレーティングシステム、BYODとしての機器、シティーコープ独自のプラットフォームなどについての評価を行う業務を担当しました。シティーコープ独自のBYOD機器の必要最低限の要件とスペックを見極める作業においては中心的役割を担いました。またシティーコープが当時採用していたブラックベリーに代わる製品として候補に挙げられていたサムソンのKNOXを評価するための一連の業務を担当しました。モバイルのインフラ構築のエンジニアチームとビジネスアプリケーション開発チームとの相互関係を築き、安全なアプリケーションを作る過程の簡易化を進めました。シティグループ・グローバル・モバイル・セキュリティロードマップの作成と管理、そしてロードマップに照らし合わせて進捗具合を追跡する業務を担当しておりました。TouchIDあるいはGood Workの通知機能やその他のモバイル機能、サービスを利用することによって想定される危険を予め予測することも私の業務の一部でした。また、シティグループのID管理、ワイヤレスネットワーク、アプリケーション開発およびリモートアクセスチームの専門家で構成されるモバイルセキュリティワーキンググループの会議を統括しておりました。会議は週一回開催され、毎回30〜40人の担当者が参加していました。私たちチームが目指していたのは、開発に携わる人間全員が最新のモバイルインフラストラクチャーの情報を共有し合い、モバイルデバイスの使用に関する問題点の早期発見を目指すことでした。StagefrightやXcodeGhostの脆弱性分析をしました。主な成果：アジアの各シティーバンク支店においてiPad導入プロジェクトの中心的なセキュリティーエンジニアを務める脅威の評価を含むJailbreakポジションペーパーを執筆MDMの製品の検討、選択そして認定プロージェクトを遂行Bluetoothデバイスの使用基準と評価チェックリストを執筆TouchIDガイドラインの作成iOS 9.0セキュア設定基準の作成Foresight、MDM、およびMS PKIとAPNS統合におけるテストと検討を完了させる Show less インフラチームあるいはビジネスエンジニアリングチームへのセキュリティ顧問としての仕事を継続すると共に、アジアで展開しているシティグループの事業に重大な影響を持ち得るインフラソリューションに対するセキュリティ評価を担当しました。金融庁に提出するシティグループ内のクラウドコンピューティングのセキュリティに関するレポート作成業務を通して仕事の範囲がアジアのクラウドサービスプロバイダーのセキュリティ評価にまで拡大されました。以前関わっていたUSBセキュリティソリューションエンジニアリングの検討、選択プロジェクトでの経験を活かし、2011年に日本のシティバンク支店におけるiPadの実用化実証プロジェクトを遂行しました。支店におけるiPad導入プロジェクトの結果と経験を活かしてシティグループ全体のデバイス管理システム（MDM）の構築に携わり、アジア地区にその管理システムを導入しました。また、必要に応じて日本のソフトウェアの資料を英語に翻訳したり、シティグループジャパンエンジニアリングチームと日本のソフトウェアベンダーの間の橋渡しを務めました。日本におけるモバイル運用スタッフ不足のために、OSのアップグレード、トラブルシューティングという形でiPadユーザーをサポートしていました。主な成果：金融庁に提出するクラウドコンピューティングソリューションのレポートの執筆シティバンク日本支店iPadのパイロットプロジェックトのリーダーを務めるMDMの検討と認定プロジェクトの着手iOS硬化ガイドライン作成NRI ISTAR、NRI Bestway, C-TAXとMixLab、ホーム・デポブランドのカードサービスにおけるクラウドの評価 Show less

  • Mobile Security Engineering

    Jun 2013 - Mar 2016

  • Security Architecture and Assessment, Engineer

    Jul 2009 - May 2013
• 

  Citigroup, Japan

  Jun 2013 - Jun 2016

  Mobile Security Engineer

  Building on my mobile experiences my role shifted to the newly created Mobile Security Engineering team. As a member of the global engineering team I evaluated mobile security infrastructure products, evaluated iOS and Android operating systems and devices for use as BYOD and Citi-managed platforms. I wrote global corporate standards for iOS, Bluetooth and Touch ID. I lead the effort to define the minimum requirements and specifications for Citi-supported BYOD devices. I participated in an effort to evaluate Samsung KNOX as a Citi-managed replacement for Blackberry. I also wrote the Secure Build Standard for iOS. I developed relations between Global Mobile Infrastructure Engineering teams and Business Mobile Application development teams to facilitate the development of secure applications that integrate with mobile infrastructure. I was tasked with the responsibility for developing and maintaining the Citigroup Global Mobile Security roadmap and tracking team efforts against the roadmap. My responsibilities also included performing threat assessments for the use of Touch ID and notifications with Good Work as well as other features and services. I was also tasked with the responsibility for leading the weekly global mobile security working group conference call which included experts from mobile engineering, identity management, wireless networks, application development and remote access team. The call was attended by 30-40 people every week. The main goal of the team was to make sure that all stakeholders were kept up to date, to share information, gather requirements and the early identification of issues regarding the use of mobile devices. Finally, I provided vulnerability analysis for major vulnerabilities such as Stagefright and XcodeGhost. Show less

• 

  Aegon Sony Life Insurance

  Nov 2016 - Jan 2020

  Manager

  Wrote security standards, implemented IPS, FireEye and vulnerability scanner software. Managed pen testing, targeted e-mail training drills, and managed network security checks.

• 

  Nissan Motor Corporation

  Jan 2020 - now

  • Vulnerability and Threat Manager, DevSecOp Manager

    Jan 2024 - now

  • Global Vulnerability and Threat Manager

    Jan 2020 - now