SIEMPRE debes comprobar que los valores "externos" que vas a utilizar son los que esperas que deberían ser. Ya se que la superglobal $_SESSION es "interna" pero ten en cuenta que normalmente se utiliza para guardar datos o valores relacionados con el usuario, ya vengan directamente de la base de datos, de las cookies o valores que el usuario ha introducido/seleccionado en nuestra app web.

Nunca debemos presuponer que algo es seguro porque el usuario no puede manipular o tener acceso a cierta zona de nuestra aplicación.

Por lo tanto SÍ, se debería proteger (aunque sea un mínimo) la superglobal $_SESSION.