セッションタイムについて

webアプリケーションを開発しております。
その中でセッションタイム時間について、デフォルトが20分程度になっておりお客様より長くしてほしいという依頼が度々くる事がございます。
お客様自身で設定できるよう改変しようと思っているのですが、セキュリティ的に何か問題が発生する場合があるのでしょうか？
一応、セキュリティ高(20分)、セキュリティ中(1時間)、セキュリティ低(２時間)みたいな設定である程度の制限は設けようと思っております。

No.1 回答者： zircon3 回答日時： 2015/10/29 05:44

セキュリティー上の問題は「セッションの乗っ取り」です。

利用者が席を外したすきにそのPCを誰かが不正に使用するといった場合です。PC側のスリープ時間の設定などを含めた総合的なセキュリティ対策を考えて対応するのが適当でしょう。。。というか組織としてのセキュリティーポリシーがまずあって、それに沿って各種の具合策が決まるわけですが。

もう一つの影響はサーバーの負荷です。セッションをつないだまま（ログインしたまま）席を離れたり、別のウィンドウで作業をされたり、ブラウザの別タグでの操作が続いたりすると不要にメモリーを消費していることになります。利用対象者の数とサーバー構成と1台当たりの性能によっては問題になる場合があります。

大きくはそんな感じでしょう。