デフォルトのphp.iniの設定では、セッションの保持時間は24分だそうです。
さらにセッションが削除されるタイミングは100分の1だそうで、100回アクセスに1回のタイミングで24分すぎたセッションファイルを削除するとのこと。
長時間セッションを保持しなければならないようなプログラムの場合は注意しなくては。
php.iniに以下を設定
session.gc_maxlifetime = 14400
session.gc_divisor = 1000
session.gc_probability = 1
これで1000分の1の確率で、240分過ぎたファイルを削除するようになる。
参考サイト
ガベージコレクション(GC)をCakePHPで試してみる | Structured-P