セッションタイムアウトの時間が短いとすぐにタイムアウトとなってしまい、新規に画面を開く必要があるなどユーザーの利便性が損なわれます。
また、セッションタイムアウトの時間が長いと、セッションIDが盗まれ、なりすましされるなどセキュリティ面での不安が出てきます。

設定方法としてはweb.xmlを編集します。単位は分となり、デフォルトでは30分となります。

<session-config>
        <session-timeout>15</session-timeout>
</session-config>