SQLインジェクション対策の必要性について

入力されるデータがどんな状態であってもエスケープの必要の無いデータであることが保証されているのであれば必要無いかと思います。

それとも、システムを使う特定の人たちにも疑いの目を向けて対策しておくべきなのでしょうか。
社内システムなどを作るときなどはどのようにするのか教えていただけると幸いです。

疑うべきは「特定の人たち」では無く、入力され得るデータの範囲です。

• 通常の入力ではエスケープするべき文字列が入る可能性が無いのか
• 入力ミスや悪意によって想定しない文字列が入る可能性は無いのか
• 標的型攻撃等によって想定しない文字列が入る可能性は無いのか
• 仮に発生したとして、復旧やデータ漏洩に対して何とか問題を解決できるのか

あたりを完全に精査して開発の要件から外せるのであれば、前述の通り必要ありません。

例えば、特定の端末の特定のインターフェイス（例えば、ATMの様に指定桁数の数字しか入力できないタッチパネル等）からしか入力できないシステムであれば、SQLインジェクション対策をしなくても問題にならない可能性が高いと思います。（私ならそれでも入れておきますが）

が、そんなことを精査する&将来に渡って保証し続けるくらいなら一律で静的プレースホルダーによるSQLインジェクション対策を行っておく方がよほど楽です。

SQLインジェクション対策を付けるべきか、付けないべきか迷っています。

そんなことに迷ってないで、当たり前のこととして対策すべきです。

【追記】

どのようなアプリか書いてないので分かりませんが、例えばクエリをパラメータ化するという当たり前にやるべきことをやっておくだけでも、SQL インジェクションの防止になります。詳しくは以下の記事を見てください。

パラメータ化クエリ
http://surferonwww.info/BlogEngine/post/2012/02/02/Parameterized-query.aspx

ただし、以下の記事に書いてありますが「高いスキルを持つ決然たる攻撃者は、パラメータ化されたデータであっても操作できるのです」というのはその通りで、そこに書いてある「すべての入力の検証」なども考えるべきと思います。

SQL インジェクション
https://docs.microsoft.com/ja-jp/previous-versions/sql/sql-server-2008/ms161953(v=sql.100)

SQLインジェクション 判例

でググるといくつも見つかりますが、ソフトウェア開発会社がSQLインジェクションの対策を怠って被害を受けた時は場合は賠償責任を負います。自社内のシステム部門が開発した場合でも社内のバッシングは避けられないでしょう。

食中毒を起こしたレストラン同様、SQLインジェクションの対策を怠ったら社会的信用は致命的になると思った方が良いです。

現在クライアントシステムを作っているのですが、

SQLインジェクション対策を付けるべきか、付けないべきか迷っています。

大は小を兼ねる。
付けられるなら付けるに越したことはないです。

それとも、システムを使う特定の人たちにも疑いの目を向けて対策しておくべきなのでしょうか。

世の中を騒がせているセキュリティ事故の要因の多くはヒューマンエラーです。

人が操作する限り絶対はありません。
意図せずやってしまうことだってあります。

事故を起こしたい人のほうが少ないわけで、
そんな中でも事故が起こるのは一瞬の不注意。

セキュリティ対策の本質は「ユーザー操作は信用しない」ことです。

プログラムは書いたとおりにしか動きませんから、
送られてきた情報は組まれているプログラムの通り処理されます。
何も対策してなければ、どんなに汚染された情報が送られてきても何もしません。

「特定の人たち」と言っても、同じ人が永遠に操作するわけではありません。
となると、半永久的に入れ替わり続け多くの人が操作することになります。
その中で絶対のミスもない、絶対に悪意がない　ありえるでしょうか？
当然、システムを提供する、メンテナンスをする方もずっと同じ人ではないです。

対策をしなくて大損することはあるでしょうけど（時に双方致命的になる）
対策をしておいて損することは基本的にないです。

対策と言ってもエスケープする程度で十分かと思いますので
工数がそこまでかからないなら対策したほうがいいんじゃないでしょうか？？