結局セッションの不具合はcore.phpのSecurity.levelをlowにすることで解決しました。

ですが！

セキュリティーのレベルをさげるということは、
それだけリスキーなアプリケーションになるということを知っておかないといけない。
ということなので、ちがう方法も試してみたいと思います。

もうひとつの方法としては
レンダリングで値をviewまで値を持って行って、
ctpに　<META HTTP-EQUIV="Refresh" CONTENT="0; URL=リダイレクトしてほしいURL">

を記述すればいいいそうです。

やってみます。

追記：
もう一つの解決方法

参考サイト
http://planetcakephp.org/aggregator/items/1917-cakephp%E3%83%AA%E3%83%80%E3%82%A4%E3%83%AC%E3%82%AF%E3%83%88%E3%81%99%E3%82%8B%E3%81%A8%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%8C%E5%88%87%E3%82%8C%E3%82%8B